在 keycloak 中跳过 kerberos sso 身份验证

Question

在某些情况下，我们需要跳过通过 Kerberos 进行的自动登录。 根据documentation，这应该通过参数?prompt=login来完成：

提示 - Keycloak 支持以下设置：

• 登录 - 将忽略 SSO，并且始终显示 Keycloak 登录页面，即使用户已通过身份验证

这在大多数情况下都有效（我们也使用 NTLM waffle 实现），但使用 Kerberos，用户始终会自动登录。

任何提示或想法为什么？
是否有其他方法可以强制转发到登录页面？

编辑：我需要跳过 Kerberos 身份验证的原因是因为我需要使用必须输入用户名+密码的管理员帐户登录。

EDIT2：我们使用的是 Keycloak.x 版本 14.0.0，也适用于版本 15.0.2。

Answer 1

参数?prompt=login 只会在您的身份验证流程中跳过Cookie 身份验证器。 Cookie 身份验证器的执行将被标记为已尝试但不成功。因此 Keycloak 将回退到替代身份验证器。我假设 Kerberos 身份验证器被配置为替代方案。如果是这种情况，您将（自动）由 Kerberos 身份验证器进行身份验证。

如果您只需要对特定客户端进行此行为，您可能希望在没有 Kerberos 身份验证器的情况下为该客户端创建额外的身份验证流程。使用Authentication flow overrides 为客户端配置新流程。

Answer 2

我刚刚创建了一个功能请求，并在代码方面提供了可能的解决方案。
skip kerberos SSO authentication to use login-form

也许能够用包含login 参数处理的自定义SpnegoAuthenticator 覆盖默认值。
我在 kerberos 环境中对其进行了修补和测试，它确实有效。

@Override
public void authenticate(AuthenticationFlowContext context) {
// +++ BEGIN CHANGE +++
    AuthenticationSessionModel session = context.getAuthenticationSession();
    Map<String, String> clientNotes = session.getClientNotes();

    if ("login".equals(clientNotes.get("prompt"))) {
        logger.info("skip SPNEGO authenticator because of client requests login prompt: " + clientNotes); //$NON-NLS-1$
        context.attempted();
        return;
    }
// +++ END CHANGE +++

    HttpRequest request = context.getHttpRequest();
    String authHeader = request.getHttpHeaders().getRequestHeaders().getFirst(HttpHeaders.AUTHORIZATION);
    if (authHeader == null) {
        Response challenge = challengeNegotiation(context, null);
        context.forceChallenge(challenge);
        return;
    }