<html><head></head><body><div style="color:#000; background-color:#fff; font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px"><div id="yiv1742660908"><div id="yui_3_16_0_ym19_1_1467465120417_12140"><div style="color:#000;background-color:#fff;font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px;" id="yui_3_16_0_ym19_1_1467465120417_12139"><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><span><br clear="none"></span></div><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><span id="yui_3_16_0_ym19_1_1467465120417_12182">After a bit of digging through the keycloak archives, I believe I've found</span></div><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304">an answer to my own question. There is indeed a way to set up identity</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304">brokering in keycloak with Salesforce, although the process</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><span id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3515">is not as straightforward as one would expect. To get the values for&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304">ACS URL and Entity Id one should create a SAML 2.0 external IdP,</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304">and then "Export" the IdP using the "Export" button.&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><span><br clear="none"></span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><span id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3638">--Peter&nbsp;</span></div><div class="qtdSeparateBR" id="yui_3_16_0_ym19_1_1467465120417_13418"><br><br></div><div class="yiv1742660908yqt0998249868" id="yiv1742660908yqtfd55654"><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3304"><br clear="none"></div><div class="yiv1742660908qtdSeparateBR" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3305">&gt;Hello,<br clear="none"></div></div></div></div></div><div class=".yiv1742660908yahoo_quoted" id="yui_3_16_0_ym19_1_1467465120417_13419"><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3278" style="font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px;"><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3277" style="font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px;"><div class="yiv1742660908y_msg_container" id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3276"><div id="yiv1742660908"><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3275"><div id="yiv1742660908yui_3_16_0_ym19_1_1467463702306_3274" style="color:#000;background-color:#fff;font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:16px;"><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><br clear="none"></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;I am trying to integrate keycloak and Salesforce using Salesforce&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;as an identity provider. It seems some of the information required to&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;properly set up the Salesforce as SAML IdP is &nbsp;missing in the keycloak's SAML&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;identity provider configuration. For example, "Entity Id", according to the&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;Salesforce documentation:&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;"<span id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_3227" style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">This value comes from the service provider.&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;" id="yui_3_16_0_ym19_1_1467465120417_13424">&gt;Each entity ID in an organization must be unique. If you’re accessing multiple&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;apps from your service provider, you only need to define the service provider&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;&gt;once, and then use the&nbsp;</span><samp id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_3228" style="font-size:16.0974px;line-height:17.5608px;">RelayState</samp><span id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_3229" style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&nbsp;parameter to append the URL values&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;to direct the user to the correct app after signing in." (https://help.salesforce.com/HTViewHelpDoc?&gt;id=service_provider_define.htm&amp;language=en_US).&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;The SAML identity provider configuration in keycloak does not have&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;a setting to specify "Entity Id". Another missing attribute is "ACS URL"</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&nbsp;&gt;(</span><span id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_3347" style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">The ACS, or assertion consumer service, URL comes from the SAML&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;">&gt;service provider.).&nbsp;</span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897"><span style="color:rgb(85, 85, 85);font-size:14.634px;line-height:17.5608px;"><br clear="none"></span></div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;Has anyone been able to set up Salesforce as IdP and keycloak&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;as SP using keycloak's SAML identity provider? Is this even possible&nbsp;</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;given that some required parameters are missing?</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;Thx</div><div dir="ltr" id="yiv1742660908yui_3_16_0_ym19_1_1467245447748_2897">&gt;Peter</div></div></div></div><br clear="none"><br clear="none"></div> </div> </div>  </div></div></body></html>