<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 01/10/15 09:13, Stian Thorgersen
      wrote:<br>
    </div>
    <blockquote
cite="mid:CAJgngAexMk8GOOUuUnK+rNvhQaorDfcRqyaUzVNn3c_UpKT_5w@mail.gmail.com"
      type="cite">
      <div dir="ltr">I don't like the query param approach as it
        requires somehow adding the query param to specify what
        authenticators to skip. This would have to be added to
        applications themselves and with Keycloak the whole idea is that
        applications shouldn't have to worry about authentication
        semantics.</div>
    </blockquote>
    I thing that some applications care about how was user authenticated
    <span class="moz-smiley-s7"><span> :-\ </span></span><br>
    <br>
    For example when application wants to reuse Kerberos credential from
    the SPNEGO authentication to call some other thirdparty
    kerberos-secured service, it needs a way to "force" keycloak to
    authenticate with Kerberos. Hence it can skip other authenticators
    and leave just Kerberos. <br>
    <br>
    Similar case is, when application wants to reuse Facebook access
    token - in this case application wants to enforce login with
    Facebook. For this case, we already have kc_idp_hint parameter,
    which also requires support on the application side . Isn't it
    similar to the query parameter skip_auth_mechanisms ?<br>
    <br>
    I might be wrong, but maybe some Keycloak users don't care too much
    about SSO. The added value for them is provisioning of users and the
    fact, that they don't need to implement Facebook or Kerberos
    authentication, but Keycloak implements it for them. So they may
    want some control on the application side how is user authenticated.<br>
    <blockquote
cite="mid:CAJgngAexMk8GOOUuUnK+rNvhQaorDfcRqyaUzVNn3c_UpKT_5w@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div>We need a generic mechanism to be able to skip any
          authenticators that automatically log in a user. Currently
          this is only Kerberos, but in the future we could add more,
          including an option to automatically route to external IdPs.</div>
      </div>
    </blockquote>
    For external IdPs, we already have "Authenticate by Default" switch
    on identity providers. We also have kc_idp_hint parameter as I
    mentioned above.<br>
    <blockquote
cite="mid:CAJgngAexMk8GOOUuUnK+rNvhQaorDfcRqyaUzVNn3c_UpKT_5w@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div><br>
        </div>
        <div>Ignoring implementation semantics for now, but taking
          Kerberos as the example authenticator I can see some options
          (in the example below replace 'Kerberos' with any other
          authentication method that can automatically login a user):</div>
        <div><br>
        </div>
        <div>* If a user that was logged in using Kerberos logs out the
          user should not just be automatically logged-in again for the
          current browser session. Instead the user should be displayed
          with a regular username/password field, but also with an
          option to login with Kerberos</div>
        <div>* A variant on the above where if a user has logged-out
          from Kerberos the user would be displayed with a "Is this
          you?" when login, if the user selects yes the Kerberos
          authenticator would continue, if not the regular
          username/password form would be displayed</div>
      </div>
    </blockquote>
    +1 to support "Is this you" screen. However maybe this should be
    configurable as some deployments may not want to display the screen,
    but want to relogin automatically.<br>
    <br>
    Classic example is redhat.com. When I have kerberos ticket, I can
    never see the login screen on saml.redhat.com . If we enforce adding
    "Is this you", some employees may complain "Hey, why there is
    another splash screen I need to click. Why I am not logged
    automatically" etc. But maybe I am wrong here. Maybe good
    opportunity to ask IT guys on the call today as they have experience
    with the real world scenarios <span class="moz-smiley-s3"><span>
        ;-) </span></span><br>
    <br>
    Conclusion of my point of view: Add variable support for "Is this
    you" screen and in addition have the support for skip_auth_mechanism
    Michael implemented.<br>
    <br>
    Marek<br>
    <br>
    <blockquote
cite="mid:CAJgngAexMk8GOOUuUnK+rNvhQaorDfcRqyaUzVNn3c_UpKT_5w@mail.gmail.com"
      type="cite">
      <div dir="ltr">
        <div>* Implement account switcher - where a user can login to
          multiple accounts at a time and select which account to use<br>
        </div>
        <div><br>
        </div>
        <div>Other ideas? Points for ideas that requires no hacks in
          applications ;)</div>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">On 30 September 2015 at 15:39, Michael
          Gerber <span dir="ltr">&lt;<a moz-do-not-send="true"
              href="mailto:gerbermichi@me.com" target="_blank">gerbermichi@me.com</a>&gt;</span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div>
              <div>Hi all,</div>
              <div><br>
              </div>
              <div>I would like to use kerberos as my standard
                authentication mechanism, but I also want to have the
                possibility to log in as an admin over the login form. </div>
              <div>Therefore, I want to skip the kerberos authenticator
                after a successful logout.</div>
              <div><a moz-do-not-send="true"
                  href="https://issues.jboss.org/browse/KEYCLOAK-1727"
                  target="_blank">https://issues.jboss.org/browse/KEYCLOAK-1727</a></div>
              <div><br>
              </div>
              <div>How would you solve this problem?</div>
              <div><br>
              </div>
              <div>I've got two solutions, one sets a logout session
                cookie after a logout and then skips the kerberos
                authentication and another which allows users to skip
                any kind of alternative authenticators with a query
                parameter.</div>
              <div><br>
              </div>
              <div>Logout Session Cookie</div>
              <div><a moz-do-not-send="true"
href="https://github.com/gerbermichi/keycloak/commit/f804d9e13573cb666cf6d2eff1407978c9e5e854"
                  target="_blank">https://github.com/gerbermichi/keycloak/commit/f804d9e13573cb666cf6d2eff1407978c9e5e854</a></div>
              <div><br>
              </div>
              <div>Query Param</div>
              <div><a moz-do-not-send="true"
href="https://github.com/gerbermichi/keycloak/commit/abd3bd87f5aa4c28914da677653268c0f44fe6cc"
                  target="_blank">https://github.com/gerbermichi/keycloak/commit/abd3bd87f5aa4c28914da677653268c0f44fe6cc</a></div>
              <span class="HOEnZb"><font color="#888888">
                  <div><br>
                  </div>
                  <div>Michael</div>
                </font></span></div>
            <br>
            _______________________________________________<br>
            keycloak-dev mailing list<br>
            <a moz-do-not-send="true"
              href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a><br>
            <a moz-do-not-send="true"
              href="https://lists.jboss.org/mailman/listinfo/keycloak-dev"
              rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a><br>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
keycloak-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a>
<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-dev">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a></pre>
    </blockquote>
    <br>
  </body>
</html>