<div dir="ltr">One flow that I&#39;ve considered would be:<div><br></div><div>1. Ask for email only</div><div>2. Lookup user, if user is found and has link to IdP redirect directly to IdP</div><div>3. Go through list of IdPs - each IdP would have a email domain associated with it. If one matches the provided email redirect to IdP</div><div>4. If neither 2 or 3 matches then display ask for password. As we know the user know we can also ask for OTP on the same page if user has OTP enabled</div><div><br></div><div>Is that a flow that would work for you?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 21 October 2015 at 09:06, Jérôme Blanchard <span dir="ltr">&lt;<a href="mailto:jayblanc@gmail.com" target="_blank">jayblanc@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Hi Stian, <br><br></div>Thanks a lot for your precisions which will help me a lot. I have already develop a theme in an earlier version and I had completely forgot that it would do the trick, great idea.<br></div>I will also investigate the idea of implementing an authenticator in order to add a cookie remembering the last used IdP because I also need the classic login for some users.<br><br></div>Best Regards, Jérôme.<br></div><div class="HOEnZb"><div class="h5"><br><div class="gmail_quote"><div dir="ltr">Le mer. 21 oct. 2015 à 08:34, Stian Thorgersen &lt;<a href="mailto:sthorger@redhat.com" target="_blank">sthorger@redhat.com</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">There&#39;s no limit with the buttons, although it would become unusable. You can change this by creating your own theme though and use a drop down or whatever you&#39;d like.<div><br></div><div>Another idea is something we&#39;ve discussed before which is to register certain email domains with a specific IdP. For example &lt;user&gt;@<a href="http://corp.com" target="_blank">corp.com</a> is automatically redirected to <a href="http://idp.corp.com" target="_blank">idp.corp.com</a>. With the new authenticator SPI you could create this flow yourself and remove the password field from the initial screen.</div><div><br></div><div>You may end up wanting to implement an authenticator for this in either case so you can add a cookie to remember the last used IdP.</div><div><br></div><div>When you use identity brokering in Keycloak, Keycloak becomes the &quot;Service Provider&quot; in the external IdP, not the individual clients. So only the Keycloak server has to be registered with the external IdP.</div></div><div class="gmail_extra"><br><div class="gmail_quote"></div></div><div class="gmail_extra"><div class="gmail_quote">On 20 October 2015 at 17:33, Jérôme Blanchard <span dir="ltr">&lt;<a href="mailto:jayblanc@gmail.com" target="_blank">jayblanc@gmail.com</a>&gt;</span> wrote:<br></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div>Hi all, <br><br></div>I&#39;m trying to 
integrate keycloak in a federation of indentities (shibolleth) using the
 SAMLv2 Identity Provider. The problem is that the federation count 
something like 100 Identity Providers and I&#39;m afraid of the L&amp;F of 
the GUI as for now, adding 3 of them is creating a button for each. Is 
there is a limit or something that creates a drop down menu ? (like this
 list <a href="https://discovery.renater.fr/renater" target="_blank">https://discovery.renater.fr/renater</a>)<a href="https://discovery.renater.fr/renater/?entityID=https%3A%2F%2Fsaga.renater.fr%2F&amp;return=https%3A%2F%2Fsaga.renater.fr%2FShibboleth.sso%2FLogin%3FSAMLDS%3D1%26passwd%3DhT6oU5$.%21%26submit_saga%3DConnexion%26%26target%3Dss%253Amem%253Aa66aa537777acf60e05706949b588b203be0a12e" target="_blank"></a><br></div>The goal for me is to create a kind of parser for this idps list : <br><a href="http://federation.renater.fr/renater/idps-renater-metadata.xml" target="_blank">http://federation.renater.fr/renater/idps-renater-metadata.xml</a><br></div>in order to parse this list and maintain my IDPs in keycloak up to date.<br><br></div>Another question is : is each client in keycloak has to be declared as a Service Provider or only the keycloak server ?<br><br></div>If you have any feedback for shibolleth federation integration using keycloak I&#39;ll be very glad to share them.<br><br></div>Thanks a lot, Best Regards, Jérôme.</div>
<br></blockquote></div></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org" target="_blank">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br></blockquote></div><br></div>
</blockquote></div>
</div></div></blockquote></div><br></div>