有没有用过 keycloak 的呀？

拿他做个登录中间件挺好，功能很完善。
至于是否用它做权限管理，取决于系统和设计了。

我们在用它搭建企业内的 IAM ，你的问题是什么呢？

@sunzhenyucn 目前暂时想先把 gitea 、jenkins 之类跟产品交付流程相关的内部系统集利用 ldap 集成进去，做 SSO 和统一认证。

对于一些额外的功能，比如日志审计，像 gitea 、jenkins 本来就已经有这些功能了，keycloak 用上是不是功能重叠了？还有角色权限这块，是不是可以利用 keycloak 统一设置，然后 gitea 、jenkins 也能自动同步设置好角色权限？（或者利用一些插件同步，不知道靠不靠谱）

1. 关于你说的利用 LDAP 集成，这边建议是统一采用泛用性更强的 OIDC 协议
2. Keycloak 的 Audit 和其他系统的 Audit 并不相同，Keycloak 的 Audit 更关注的是认证与授权事件的审计，而类似于 Jenkins 等系统的审计更关注的是系统本身的业务操作审计
3. Keycloak 的角色权限较为复杂，Authorization 功能也仅限于 OIDC 协议使用，如果需要做集成的话可能需要对客户端（类似但不限于 Jenkins 、Gitea 等）做二次开发才能够实现

P.S. 我们对于 Keycloak 的 Authorization 等概念做了一些更高层的抽象，并且我们的鉴权模型为 PBAC ，我们的做法是通过开发 Keycloak 插件将 Authorization 内的一些概念类似但不限于 Permission, Scope, Resource 等与 PBAC 中的概念做了一一映射。

@sunzhenyucn #4 好吧，感觉我是想多了，这样要二次开发的系统就太多了，角色权限这块还是用系统自身的好了，不过很好奇你们为什么要在 Keycloak 已有授权的基础上加一层呢，是业务上不满足需求还是有别的原因？

@COW 因为我们使用 IAM 的目的是为我们自己的应用云平台上的所有 SaaS 或 On-Permis 应用提供统一的认证和鉴权框架，包括我们自己的应用云平台上的 Open API 类产品也是托管在我们平台上进行认证和鉴权的，这种场景的细粒度授权 RBAC 不合适所以我们自己基于 Keycloak 封装了一套 PBAC