单点登录-多个身份提供者，可选的SSO页面

我正在用PHP构建一个需要集成SSO的SAAS web应用程序。我们将有多个客户组织，每个组织都有自己的身份提供者（Active Directory）。在研究可能性时，我遇到了SimpleSAMLphp，但我不确定它是否能满足我的要求，并希望得到关于最佳实现方法的反馈。看起来SAML或OAuth2是一个不错的选择，但我在这方面的经验有限。 需要这些能力： 客户端管理员应该能够通过广告添加和删除对我

我为一家SaaS提供商工作，该提供商希望以我们的应用程序作为服务提供商，向企业客户提供SSO应用程序。 我理解需要发生的事情背后的概念，并且SAML是我们希望做的事情的适当解决方案。看看更大的SaaS提供商（slack、dropbox、new relic等）我可以看到，它们通常似乎与许多身份提供商集成，如OneLogin、Bitium、Okta、Ping Identity等。。。以及通用SAML支

问题内容： 我的Web应用程序有多个身份验证管理器（一个用于API，一个用于WEB访问）。该api应该仅具有基本的身份验证服务- 通过spring安全标记进行配置，如下所示： 我无法内联身份验证提供程序，因为我希望它可以被子bean配置覆盖。 我的问题是我无法在security：authentication-provider元素上定义别名/ id以在身份验证管理器中引用它。有一个简单的解决方法吗？

我的目标是使用凭据进行两步身份验证。第一步是检查具有主体的用户是否在特殊数据库表中具有角色。其次是执行标准ldap身份验证。 我需要的是同时执行这两项检查，但身份验证提供程序的常见方法是在任何身份验证提供程序首次成功后声明身份验证成功。因此，我决定创建一个自定义的 AuthenticationProvider 实现，它调用 LdapAuthenticationProvider，然后执行数据库检查逻

我已经创建了身份提供程序，并且从浏览器中它工作正常。 参考：密钥斗篷身份提供程序后代理登录抛出错误 从浏览器，我可以使用外部IDP登录，如果外部IDP用户不在keycloak中，它会在keyclock中创建，这绝对没问题，并重定向到仪表板。 但我的问题是，我们如何用keycloak rest api实现这个流程？ 是否有任何api用于使用外部IDP登录，并将获得外部IDP的令牌以及密钥斗篷的令牌？

我遇到过许多讨论类似问题的文章，但我找不到确切的答案。 我的公司希望开始使用Identity Server 3，但其中一个要求是能够对外部用户进行身份验证，而无需他们手动输入凭据。 这必须能够提供单一登录功能，因为我们有3个不同的系统，用户只需登录一次。 本质上，外部用户有自己的CRM。 CRM保存我们软件的用户名和密码 至关重要的是，我们不能为我们的合作伙伴改变这一进程。 我可以实现一个自定义服