认证逻辑/框架:
将 Keycloak 作为 IdP (身份提供者),而 Microsoft Entra ID (Azure AD) 作为 SP (服务提供者)
架构和前提条件
- IdP (身份提供者): Keycloak
- SP (服务提供者): Microsoft Entra ID
- 协议: SAML 2.0
- 关键前提:
- 自定义并验证域: 必须在 Microsoft Entra ID 中拥有一个自己的自定义域(例如
your-company.com),并且已完成验证。不能对默认的.onmicrosoft.com域执行此操作。 - 管理员权限: 需要 Keycloak 的管理员权限和 Entra ID 的全局管理员 (Global Administrator) 权限。
- PowerShell: 配置 Entra ID 联邦域必须使用 PowerShell (Microsoft Graph PowerShell 或旧的 MSOnline 模块)。