всратомонолит

работать будет, но через неделю 60 гигов памяти и 18 кпу будет маловато уже

так кейклоак, приколюха вот тут

Valid Redirect URIs = должно в итоге вести на авторизатор опеншифта, но лучше начинать пробовать тестировать со звездой

должен быть секрет отсюда

Звездой ?

spec:
   identityProviders:
   - mappingMethod: claim
     name: openid-keycloak
     openID:
       claims:
         email:
         - email
         name:
         - preffered_username
         preferredUsername:
         - preferred_username
       clientID: openshift
       clientSecret:
         name: openid-client-secret
       extraScopes: []
       issuer: https://keycloak/auth/realms/SBC
     type: OpenID

это Oauth.yaml

соотвественно iaauer ведет на твой реалм в кейклоаке

и секрет на твой секрет из Credentials

судя по описанию все работает, кроме Valid Redirect URIs
вот поставь туда для начала звезду

а должно быть там что-то типа
https://oauth-openshift.apps.development.sbdomain-dev.net/oauth2callback/keycloak

для гитлаба все тоже самое и такой вот кусок конфига в гитлаб
   omniauth:
     enabled: true
     syncProfileAttributes:
     - email
     allowSingleSignOn:
     - saml
     blockAutoCreatedUsers: false
     autoLinkSamlUser: true
     providers:
     - secret: gitlab-keycloak-provider

Уффф... Завтра попробую, спасибо

)) ну будешь пробовать пиши. в целом там никакой науки космической нет )

просто доки, действительно, неочевидные

А какое решение наиболее удобное, но секурное?
ВПН поднимать и вывешивать куб только на этот интерфейс, а не на внешку?

ВПН тоже не самое удобное решение

либо aclки какие ставить...

но куб все равно на внешку в таком случае будет смотреть?