問題タブ [kerberos-delegation]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - ブラウザーが AD ドメインにない場合の Keycloak GSS 資格情報の委任
Keycloak/OpenID Connect を使用してユーザーを Windows AD に認証する Web アプリがあります。
ユーザーは、Windows AD ドメインのワークステーションでブラウザーを使用しません。
Web App サーバー (Keycloak アダプターを備えた Tomcat) は、Windows AD ドメインで実行されています。
Web アプリは Keycloak/OpenID Connect 用に構成されています。Keycloakレルムは、Windows AD Kerberos/LDAPを使用するように構成されています。
ユーザーのブラウザーはキークロークのログインに転送し、ログインが成功すると Web アプリに転送します。
Web アプリケーションは、Kerberos チケット/GSS クレデンシャルを使用して IBM i に接続する必要があります。IBM i は、Windows AD を使用して SSO/EIM 用に構成されています。できます。
GSS Credential Forwarding 用に Keycloak クライアントを構成しました。
Keycloak クライアントを使用して、サーブレット リクエストから GSS クレデンシャルを取得しようとしています
「otherClaims」マップは空です。したがって、デシリアライズすると、メッセージとともに null ポインター例外がスローされます
私は何が欠けていますか?
docker - nginx サーバーの背後に設定された Identity サーバーの NTLM Kerberos サポート (IE では機能しません)
ngnix プロキシの背後にある Identity サーバー 4 があります。Azure AD をサポートします。https で SSO を使用すると、IE ブラウザーでは機能しませんが、IWA/NTLM/Kerberos により、他のブラウザーでは正常に機能します。
したがって、それをサポートするには、ngnix で変更する必要があります。