feat(idp): add keycloak-first support with authentik fallback

2026-04-01 00:41:38 +08:00
parent febfafc55c
commit 34ba57034d
22 changed files with 458 additions and 123 deletions
--- a/docs/LOCAL_DEV_RUNBOOK.md
+++ b/docs/LOCAL_DEV_RUNBOOK.md
@@ -16,7 +16,8 @@ npm run dev
 ## 3) 重要環境變數
 - `backend/.env.development`
  - `ADMIN_REQUIRED_GROUPS=member-admin`
-  - `AUTHENTIK_*` 需可連到 Authentik
+  - 優先使用 `KEYCLOAK_*`（若有設定 `KEYCLOAK_BASE_URL + KEYCLOAK_REALM`）
+  - 未設定 Keycloak 時，才使用 `AUTHENTIK_*` 備援

 ## 4) 基本檢查
 - `GET http://127.0.0.1:8000/healthz`
@@ -24,7 +25,7 @@ npm run dev
 - 非 admin 群組帳號打 `/admin/*` 應回 `403`

 ## 5) 會員流程驗收
-1. 新增會員（username/email/display_name，開啟 sync_to_authentik）
+1. 新增會員（username/email/display_name，開啟 sync_to_authentik；此旗標目前代表「同步到外部 IdP」）
 2. 確認列表可看到新會員與 `user_sub`
 3. 點「重設密碼」，取得臨時密碼
-4. 到 Authentik 驗證該會員可用新密碼登入
+4. 到 Keycloak（或 Authentik）驗證該會員可用新密碼登入