Короче говоря, моя цель — управлять всеми разрешениями пользователей в одном месте, а затем развертывать их повсюду. Я думаю, что Active Directory/FreeIPA идеально подходит для такого рода вещей. Это также удобно, потому что некоторым пользователям потребуется войти на серверы Linux. Также мне нужно связать учетную запись с учетной записью GSuite (это достаточно просто с помощью Google Cloud Directory Connector). Загвоздка в том, что пользователям необходимо войти в систему через службу единого входа Oauth2. Когда пользователь входит в систему в первый раз, он должен создать учетную запись в FreeIPA, после чего каждая служба приложений может использовать LDAP для управления пользователями, получения групп и т. д. Поскольку OAuth выходит за рамки IPA, я искал варианты для этого. Я попытался реализовать Keycloak для этого и использовать службу единого входа в качестве поставщика идентификации. Проблема в том, что, насколько мне известно, Keycloak не поддерживает обычный OAuth2, а поддерживает только стандарт OpenID, что вызывает проблемы.
Я всегда могу создать простое приложение для этого, но я хотел знать, есть ли стандартный способ сделать это, прежде чем разрабатывать собственное решение. Я бы через других столкнулся с подобной проблемой.
P.S. В качестве дополнительного бонуса было бы здорово, если бы я мог реализовать 2fa на некоторых учетных записях после входа в SSO.
