Um Tribunal Regional do Trabalho deseja implementar um sistema de autenticação centralizado para seus diversos aplicativos
internos e externos. Decidiu, para isso, utilizar o Keycloak como Identity Provider (IdP) e configurar a autenticação e autorização dos
usuários por meio do OAuth2. Durante a implementação, a equipe de segurança precisa garantir que os fluxos de autenticação
estejam corretamente configurados e que os aplicativos tenham acesso seguro aos recursos protegidos. Nesse cenário,
✂️ a) o Keycloak pode atuar como um Authorization Server dentro do fluxo OAuth2, permitindo a emissão de tokens de acesso е
refresh tokens para aplicações cliente. ✂️ b) o Keycloak apenas suporta OAuth2 para autenticação federada, sendo necessário utilizar um provedor externo como
Azure AD ou Google Identity para permitir login unificado. ✂️ c) no OAuth2, ao utilizar Keycloak como IdP, o fluxo de Implicit Grant deve ser sempre a opção preferida para aplicações web
modernas, pois é o mais seguro e recomendado atualmente. ✂️ d) aplicações cliente que precisam acessar APIs protegidas devem utilizar o Authorization Code Lazy (ACL) combinado com
Proof Authority for Code Exchange (PACE) para aumentar a segurança na troca de tokens . ✂️ e) o protocolo OAuth2, implementado no Keycloak , permite a geração de Access Tokens e ID Tokens , mas não suporta
Refresh Tokens para renovação de sessão.