Внедряем SSO, но в нем не будет возможности вести группы для авторизации в рамках приложений. Это необходимо реализовывать средствами самого приложения (sso только для аутентификации).
Есть ли возможность скрестить SSO (keycloak oidc) и ASP.NET Core Identity, чтобы вести базу пользователей приложения и их ролей в Identity, а аутентификацию проводить через SSO?
Или нужно использовать другой сценарий? Какой?
UPD:
Аутентификация уже реализована через OIDC (Microsoft.AspNetCore.Authentication.OpenIdConnect).
Authorization is orthogonal and independent from authentication. However, authorization requires an authentication mechanism. Authentication is the process of ascertaining who a user is. Authentication may create one or more identities for the current user.
Уже и так получается для аутентифицированного пользователя должен был создаться IdentityUser (или как он там называется), и ему можно навесить любые клеймы/роли/итд
Маны я уже вдоль и поперек прочесал. Так же у меня есть рабочие проекты с полным циклом авторизации через ASP.NET Core Identity. Проблема в том, что я не понимаю, как связать аутентифицированного пользователя, который вошел через SSO с инфраструктурой Identity. При использовании OAuth проблем нет, там все понятно (у меня есть приложения, которые используют google и yandex провайдеров), но при использовании OIDC такой номер не проходит, так как нет провайдера для ASP.NET Core Identity. Там авторизация происходит не интегрировано, а вместо.
