身份中心与 Keycloak 单点登录示例

聚焦模式

字号

最后更新时间： 2025-11-26 11:21:24

本文为您提供 Keycloak 与身份中心进行单点登录（SSO 登录）的示例。
说明：
本文以 Keycloak 26.3.4 为例。
准备工作
配置 SSO 登录前，您需要完成用户创建：在身份中心创建同名用户。创建时，身份中心的用户名需要和 Keycloak 的用户名保持一致。具体操作，请参见 管理用户。
在身份中心配置
步骤一：开启 SSO 登录
1. 登录集团账号管理 > 身份中心管理 > 用户管理 > 设置 页面。
2. 在 SSO 登录 区域，单击
﻿
，在弹出的窗口单击开启，启用 SSO 登录。
﻿
步骤二：复制服务提供商（SP）信息
在服务提供商（SP）信息区域，查看并复制 ACS URL、Entity ID，用于外部 IdP 的手动配置。
﻿
步骤三：获取用户登录 URL
在集团账号管理 > 身份中心概览 页面，查看并复制用户登录 URL，用于外部 IdP 的手动配置。
﻿
在 Keycloak 配置
步骤一：在 Keycloak 中创建客户端 
1. 管理员登录 Keycloak，在 Manage > Clients 页面中，单击 Create client，进入配置页面。
﻿
2. 在 General settings 页面，Client type 选择 SAML，Client ID 填写在 步骤二 获取的身份中心的 Entity ID，单击 Next。
﻿
3. 在 Login settings 页面，填写以下信息后，单击 Save，完成在 Keycloak 的配置。
Root URL 和 Home URL 填写 步骤三 中获取的身份中心用户登录 URL。
Valid redirect URIs 填写步骤二中获取的 ACS URL。
﻿
步骤二：在 Keycloak 下载元数据文档
1. 在 Configure > Realm settings 页面，从网页打开 SAML 2.0 Identity Provider Metadata 链接。
﻿
2. 在打开后的网页中，单击鼠标右键存储为本地文件，即获得了元数据 XML 文档。
说明：注意不要将网页数据复制粘贴后保存，格式不兼容。
﻿
步骤三：在身份中心上传联合元数据 XML
1. 在集团账号管理 > 身份中心管理 > 设置 > SSO 登录的身份提供商(IDP)信息区域，单击配置身份提供商信息。
﻿
2. 单击选择文件，上传在 Keycloak 中 下载的元数据 XML 文档，完成配置。
﻿
﻿
﻿
结果验证
完成 SSO 登录配置后，您可以从腾讯云发起 SSO 登录。
前提：在身份中心需要创建和 Keycloak 同名的用户，进入集团账号管理> 身份中心管理 > 用户中创建。
登录流程：
1. 身份中心管理员进入集团账号管理 > 身份中心管理 > 身份中心概览 页面的右侧，查看并复制用户登录 URL。
﻿
2. 单击访问用户登录 URL，单击登录。
﻿
3. 重定向到 Keycloak 登录页面，选择账户后输入密码登录。
4. 登录成功，进入身份中心账号列表页。
﻿