<div dir="ltr">As I commented in the original thread I don&#39;t think this is a good idea. Users that have configured their browser has to set a specific domain to enable Kerberos as well as be logged-in using Kerberos to their desktop. With that in mind 99% of users will want to log in with Kerberos 99% of the time. So requiring and extra step in the flow is not nice.<div><br></div><div>Let&#39;s please return this conversation to the original thread though, rather than start another thread.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 2 October 2015 at 17:23, Bill Burke <span dir="ltr">&lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I would like to take the Account Chooser approach to the Kerberos bypass<br>
situation.  The Flow would be:<br>
<br>
1. Cookie - ALTERNATIVE<br>
2. Chooser Flow - ALTERNATIVE<br>
    a. Kerberos - OPTIONAL<br>
    b. Account Chooser - ALTERNATIVE<br>
    c. Forms ALTERNATIVE<br>
       i. Username/Password - REQUIRED<br>
       ii. OTP - OPTIONAL<br>
<br>
<br>
* An &quot;accounts used&quot; cookie needs to be optionally set depending on<br>
&quot;remember me&quot; switch. This should be a persistent cookie.<br>
* Account Chooser page is always shown unless the &quot;account used&quot; cookie<br>
is empty and no ClientSessionModel.getAuthenticatedUser is set.<br>
* If selected user == current ClientSessionModel.getAuthenticatedUser<br>
then return SUCCESSFUL<br>
* If selected user != NULL set ClientSessionModel.getAuthenticatedUser,<br>
return ATTEMPTED<br>
* If selected user == NULL clear<br>
ClientSessionModel.getAuthenticatedUser, return ATTEMPTED<br>
<br>
* Username/Password Form Authenticator does not display username,<br>
registration, and broker links if getAuthenticatedUser is already set<br>
* An improvement can be made to also perform OTP input on<br>
Username/Password page if a UserModel is already chosen.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Bill Burke<br>
JBoss, a division of Red Hat<br>
<a href="http://bill.burkecentral.com" rel="noreferrer" target="_blank">http://bill.burkecentral.com</a><br>
_______________________________________________<br>
keycloak-dev mailing list<br>
<a href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a><br>
</font></span></blockquote></div><br></div>