公司内网认证系统调研

atrust 连接进去，账号都是工号，密码全是默认密码

authelia 使用 LDAD 作为用户源头
headscale 使用 authlia 作为 IDP
所有人必须使用 tailscale 连接才能进入内部网络

keycloak 作为认证中心，它的上游对接了企业微信，有些不在企业微信的人员可以分配临时密码。

为什么是 keycloak ？ 因为 oauth2 已经支持绝大部分应用系统和平台，keycloak 除了支持 oauth2 ，本身的灵活性，字段映射也也能很方便的满足各个系统需求。

缺点就是，没有官方本土化化适配，企业微信的 Provider 支持是我们自己适配的。

authlia -> authelia

基于 windows 域控+oauth2 ， 尝试过在网页上更新了密码，windows 过一段时间也会自动更新，所有的其他平台都是基于 oauth2 认证的，账号密码都是一套

logto 也不错

microsoft365 混合部署 + oauth2

https://goauthentik.io/ B 站的视频教程很详细

@coolcoffee 不推荐 keycloak ，功能是强大但是臃肿，定制开发困难。最重要的是官方支持太短，两三个月就 EOL ，这玩意就是 redhat 的企业版 SSO 的玩具版。

10 年前选择不多，但是现在 authelia, authentik 等等好的选择太多了

全部员工注册飞书或者钉钉，casdoor 作为统一认证的方式

认证几乎全部通过 Okta 的 SSO ，还有少部分用 LDAP 的，不过也在往 Okta 上转化：
- 可访问公共网络的，直接接入 Okta ；
- 不可访问公共网络的，通过部署在本地的 Okta gateway 接入 Okta 。

@wangbin11 casdoor 好集成吗？


@kukat keycloak 看来需要避坑了

ORY 技术栈 https://github.com/ory/kratos

去年搜索统一登录的方案，因为是 Java 开发，所以选择了 Keyclaok 。
使用 OAuth2.0 方式接入了好几个已经开发的系统，统一登录适配。
支持中文界面，方便添加新的接入系统，没有使用 Keycloak 复杂的角色权限系统。
Authentik 看视频介绍支持中文界面，感觉也可以尝试。

飞书账号 Oauth

业务场景不讨论就选方案 不是扯么


基本定位与特点
Authelia 是一个轻量级的开源身份验证和授权服务器，通过 Web 门户为应用程序提供双因素认证和单点登录(SSO)功能。它主要设计为与反向代理（如 Traefik 、NGINX ）集成，作为不受信任网络的网关。

Keycloak 则是由 Red Hat 支持的完整身份提供商(IdP)，提供企业级身份和访问管理，旨在简化身份验证过程。它支持多种标准协议，包括 OAuth 2.0 、OpenID Connect 、SAML 和 LDAP 等。

https://www.perplexity.ai/search/authelia-vs-keycloak-ta-men-de-P8Ytt9VTRzKTc_7vzXP2pQ

中国移动的手机号，sim 认证。 输入之后，手机弹窗，输入一个 PIN 码完成登陆。

我觉得 Microsoft Entra ID 配合 ad 域最方便了

新写一套 connect, 支持多种方式登录, oauth2 接入. connect 里进行登录权限控制. 供参考

微软 365 企业版，使用工作邮箱的微软账号登录作为 sso 。配合 ad 域控，工作电脑有用户漫游，远程用连接 remote desktop 远程桌面。