สั้นๆ สั้นๆ เป้าหมายของฉันคือการให้สิทธิ์ผู้ใช้ทั้งหมดได้รับการจัดการในที่เดียว จากนั้นปรับใช้ทุกที่ ความคิดของฉันคือ Active Directory/FreeIPA นั้นสมบูรณ์แบบสำหรับสิ่งนี้ นอกจากนี้ยังมีประโยชน์เนื่องจากผู้ใช้บางรายจำเป็นต้องลงชื่อเข้าใช้เซิร์ฟเวอร์ลินุกซ์ นอกจากนี้ ฉันต้องเชื่อมโยงบัญชีกับบัญชี GSuite (ซึ่งง่ายพอสำหรับ Google Cloud Directory Connector) สิ่งที่จับได้คือผู้ใช้ต้องเข้าสู่ระบบผ่านบริการ Oauth2 SSO เมื่อผู้ใช้เข้าสู่ระบบเป็นครั้งแรก ควรจัดเตรียมบัญชีใน FreeIPA จากนั้นบริการแอปแต่ละรายการสามารถใช้ LDAP สำหรับการจัดการผู้ใช้เพื่อรับกลุ่ม ฯลฯ เนื่องจาก OAuth อยู่นอกขอบเขตของ IPA ฉันจึงมองหาตัวเลือกสำหรับสิ่งนี้ ฉันได้ลองใช้ Keycloak เพื่อทำสิ่งนี้และใช้บริการ SSO เป็นผู้ให้บริการระบุตัวตน ปัญหาคือตามความรู้ของฉัน Keycloak ไม่รองรับ OAuth2 ปกติและเฉพาะมาตรฐาน OpenID เท่านั้นที่ทำให้เกิดปัญหา
ฉันสามารถสร้างแอปง่ายๆ เพื่อทำสิ่งนี้ได้เสมอ แต่ฉันอยากรู้ว่ามีวิธีมาตรฐานในการทำเช่นนี้หรือไม่ ก่อนที่ฉันจะพัฒนาโซลูชันแบบกำหนดเอง ฉันจะต้องผ่านคนอื่น ๆ ที่ต้องเผชิญกับปัญหาที่คล้ายกัน
ป.ล. เป็นโบนัสเพิ่มเติม มันจะดีมากถ้าฉันสามารถใช้ 2fa ในบางบัญชีหลังจากลงชื่อเข้าใช้ SSO