BookStack与Keycloak集成：解决角色同步问题

背景介绍

BookStack是一款开源的文档管理系统，支持通过OpenID Connect(OIDC)协议与Keycloak身份认证系统集成。在实际部署中，许多管理员会遇到Keycloak用户角色无法正确同步到BookStack的问题。

问题现象

当配置BookStack使用Keycloak进行身份认证时，虽然用户能够成功登录，但用户的角色信息却无法正确同步。具体表现为：

• 用户登录后没有获得预期的权限
• 检查OIDC返回的ID令牌中缺少角色信息
• 尽管访问令牌(access token)中包含角色数据，但这些数据未被BookStack识别

技术分析

BookStack通过解析OIDC ID令牌来获取用户信息，包括角色数据。而Keycloak默认配置下，角色信息通常只包含在访问令牌中，不会自动包含在ID令牌内。这是导致角色同步失败的根本原因。

解决方案

1. 确认Keycloak配置

首先需要确保Keycloak客户端配置正确：

1. 在Keycloak管理控制台中导航到目标客户端(如bookstack)
2. 检查客户端作用域(Client Scopes)设置

2. 修改ID令牌内容

关键步骤是将角色信息添加到ID令牌中：

1. 进入客户端专属作用域(如bookstack-dedicated)
2. 添加"客户端角色"(Client Roles)映射
3. 确保勾选"添加到ID令牌"(Add to ID token)选项
4. 如有需要，添加"用户客户端角色"(User Client Role)映射

3. BookStack环境变量配置

在BookStack的.env配置文件中，确保包含以下关键参数：

OIDC_USER_TO_GROUPS=true
OIDC_ADDITIONAL_SCOPES=roles
OIDC_GROUPS_CLAIM=realm_access.roles
OIDC_REMOVE_FROM_GROUPS=true

验证方法

使用OIDC_DUMP_USER_DETAILS=true参数可以输出详细的用户信息，帮助调试：

1. 检查返回的ID令牌是否包含预期的角色信息
2. 确认角色声明(claim)的路径与OIDC_GROUPS_CLAIM配置匹配

总结

Keycloak与BookStack的角色同步问题通常是由于ID令牌中缺少角色信息导致的。通过正确配置Keycloak客户端，将角色信息包含在ID令牌中，并确保BookStack的OIDC参数设置正确，可以解决这一问题。这一解决方案不仅适用于Keycloak，对其他OIDC兼容的身份提供商也有参考价值。

对于系统管理员来说，理解OIDC协议中访问令牌和ID令牌的区别至关重要，这有助于快速定位和解决类似的身份认证集成问题。