<div dir="ltr"><div><div><div>Keycloak A is the idp using oidc</div></div><div>&quot;testuser&quot; and &quot;testrole&quot; are defined in Keycloak A.</div></div><div><br></div><div><br></div>Keycloak B is the broker, it has Keycloak A as identity provider<div>App B authenticates using the broker, choosing Keycloak A as the provider</div><div><br></div><div>I want Keycloak B to receive (from Keycloak A) a calaim saying something like &quot;roles&quot;: &quot;testuser&quot; </div><div><br><div><br><div><br></div><div><br><div><br></div></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-09-30 11:26 GMT-03:00 Bill Burke <span dir="ltr">&lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am confused on what you want to do.  Please talk in terms of Keycloak<br>
A, Keycloak B, App C, App D.<br>
<div><div class="h5"><br>
On 9/30/2015 9:23 AM, Gonzalo López wrote:<br>
&gt; testuser has some roles in host B (testrole in this example), I want to<br>
&gt; put the roles as a claim in the token so when host A receives the token<br>
&gt; it maps the claim to roles in host A<br>
&gt;<br>
&gt; I already did the second part (mapping in host A), but I still can&#39;t<br>
&gt; find out how to put the roles in a claim.<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;     On 9/29/2015 3:42 PM, Gonzalo L?pez wrote:<br>
&gt;      &gt; I&#39;m trying to test the Identity broker to achieve cross domain<br>
&gt;     sso, this<br>
&gt;      &gt; is what I have done:<br>
&gt;      &gt;<br>
&gt;      &gt; 1 - Installed jboss 6.4 eap + keycloak + keycloak eap6 adapter in<br>
&gt;     host A<br>
&gt;      &gt; 2 - Installed jboss 6.4 eap + keycloak in host B<br>
&gt;      &gt; 3 - In host A, I added an oidc Identity Provider (importing host B<br>
&gt;      &gt; openid connect configuration).<br>
&gt;      &gt; 4 - In host A, I created an application (appa.war) that will try<br>
&gt;     to use<br>
&gt;      &gt; the broker to authenticate. I added security to the app (only<br>
&gt;     user with<br>
&gt;      &gt; role &quot;user&quot; will be able to access some parts)<br>
&gt;      &gt; 5 - In host B, I added 2 oidc clients (the broker from host A and<br>
&gt;     appb,<br>
&gt;      &gt; appb (appb.war) is a simple application developed to log in using<br>
&gt;     oidc)<br>
&gt;      &gt; 6 - In host B, I created a role &quot;testrole&quot; inside appb and a user<br>
&gt;      &gt; &quot;testuser&quot;, then I added that role to the user.<br>
&gt;      &gt;<br>
&gt;      &gt; I couldn&#39;t find out how to map the role &quot;testrole&quot; to a claim<br>
&gt;     that will<br>
&gt;      &gt; be sent to the broker once the user has authenticated. Is there a<br>
&gt;     way to<br>
&gt;      &gt; do that?<br>
&gt;      &gt;<br>
&gt;      &gt; After I accomplish that I plan to map that claim to the role<br>
&gt;     appa.user.<br>
&gt;      &gt;<br>
&gt;<br>
&gt;     OIDC and SAML Identity Providers have mappers.  Host A broker will<br>
&gt;     receive the token from Host B.  You can map the testrole to whatever<br>
&gt;     claim you want.<br>
&gt;<br>
&gt;<br>
&gt;     --<br>
&gt;     Bill Burke<br>
&gt;     JBoss, a division of Red Hat<br>
&gt;     <a href="http://bill.burkecentral.com" rel="noreferrer" target="_blank">http://bill.burkecentral.com</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
</div></div>&gt; _______________________________________________<br>
&gt; keycloak-user mailing list<br>
&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
<span class="">&gt;<br>
<br>
--<br>
Bill Burke<br>
JBoss, a division of Red Hat<br>
<a href="http://bill.burkecentral.com" rel="noreferrer" target="_blank">http://bill.burkecentral.com</a><br>
</span>_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
</blockquote></div><br></div>