开源身份和访问管理

以最小的努力为应用程序添加身份验证并保护服务安全。
无需处理存储用户或验证用户。

Keycloak 提供用户联合、强身份验证、用户管理、细粒度授权等功能。

最新版本 26.2.0

单点登录

用户通过 Keycloak 而不是单独的应用程序进行身份验证。这意味着您的应用程序无需处理登录表单、验证用户和存储用户。一旦登录 Keycloak,用户无需再次登录即可访问不同的应用程序。

这也适用于注销。Keycloak 提供单点注销,这意味着用户只需注销一次即可从所有使用 Keycloak 的应用程序中注销。

Screenshot showing a user's login screen as presented by Keycloak

身份代理和社交登录

通过管理控制台可以轻松添加社交网络登录功能。只需选择您要添加的社交网络即可。无需代码或更改您的应用程序。

Keycloak 还可以使用现有的 OpenID Connect 或 SAML 2.0 身份提供商对用户进行身份验证。同样,这只是通过管理控制台配置身份提供商的问题。

Diagram illustrating brokering

用户联合

Keycloak 内置支持连接到现有的 LDAP 或 Active Directory 服务器。如果您的用户存储在其他位置(例如关系数据库),您也可以实现自己的提供商。

Diagram illustrating user federation

管理控制台

通过管理控制台,管理员可以集中管理 Keycloak 服务器的所有方面。

他们可以启用和禁用各种功能。他们可以配置身份代理和用户联合。

他们可以创建和管理应用程序和服务,并定义细粒度的授权策略。

他们还可以管理用户,包括权限和会话。

Screenshot of the admin console

账户管理控制台

通过账户管理控制台,用户可以管理自己的账户。他们可以更新个人资料、更改密码以及设置双因素身份验证。

用户还可以管理会话以及查看账户的历史记录。

如果您启用了社交登录或身份代理,用户还可以将其账户与额外的提供商关联,以允许他们使用不同的身份提供商对同一账户进行身份验证。

Screenshot of the account management console

标准协议

Keycloak 基于标准协议,并提供对 OpenID Connect、OAuth 2.0 和 SAML 的支持。

授权服务

如果基于角色的授权不能满足您的需求,Keycloak 还提供细粒度的授权服务。这允许您从 Keycloak 管理控制台管理所有服务的权限,并使您能够精确定义您需要的策略。

单点登录 一次登录即可访问多个应用程序
标准协议 OpenID Connect、OAuth 2.0 和 SAML 2.0
集中管理 面向管理员和用户
适配器 轻松保护应用程序和服务安全
LDAP 和 Active Directory 连接到现有的用户目录
社交登录 轻松启用社交登录
身份代理 OpenID Connect 或 SAML 2.0 IdP
高性能 轻量级、快速且可扩展
集群 为了可扩展性和可用性
主题 自定义外观和感觉
可扩展 通过代码自定义
密码策略 自定义密码策略