Pe scurt, scopul meu este să am toate permisiunile utilizatorilor gestionate într-un singur loc și apoi implementate peste tot. Gândurile mele sunt că Active Directory/FreeIPA este perfect pentru acest gen de lucruri. De asemenea, este util, deoarece unii utilizatori vor trebui să se autentifice la serverele Linux. De asemenea, trebuie să conectez contul cu un cont GSuite (acest lucru este destul de ușor cu Google Cloud Directory Connector). Problema este că utilizatorii trebuie să se autentifice printr-un serviciu SSO Oauth2. Când un utilizator se conectează pentru prima dată, ar trebui să furnizeze un cont în FreeIPA, atunci fiecare serviciu de aplicație poate folosi LDAP pentru gestionarea utilizatorilor pentru a obține grupuri, etc. Deoarece OAuth nu este în domeniul de aplicare al IPA, am căutat opțiuni pentru aceasta. Am încercat să implementez Keycloak pentru a face acest lucru și să folosesc serviciul SSO ca furnizor de identificare. Problema este că, după cunoștințele mele, Keycloak nu acceptă OAuth2 obișnuit și doar standardul OpenID, provocând probleme.
Pot oricând să creez o aplicație simplă pentru a face acest lucru, dar am vrut să știu dacă există o modalitate standard de a face acest lucru înainte de a dezvolta o soluție personalizată. Prin alții m-aș fi confruntat cu o problemă similară.
P.S. Ca bonus suplimentar, ar fi grozav dacă pot implementa 2fa pe unele conturi după conectarea SSO.
