Неправильные перенаправления Keycloak в AWS

У нас возникли проблемы с поиском способа правильно настроить Keycloak в AWS. Мы не можем правильно перенаправлять пользователей.

Позвольте мне описать нашу настройку: - у нас есть веб-приложение (построенное на основе dropwizard), которое зависит от Keycloak для аутентификации. Это приложение использует pac4j для реализации протокола openid connect. - у нас есть кластер keycloak с балансировщиком нагрузки перед ним (предположим, что адрес LB - http://keycloak-lb.internal.company.com/) - перед этими службами (веб-приложение и keycloak) у нас есть WAF. Пользователи получают доступ к системе через этот WAF.

Проблема: пользователи перенаправляются на внутренний балансировщик нагрузки Keycloak, тогда как они должны быть перенаправлены на адрес WAF KC. Причину этого довольно просто понять. Когда веб-приложение обращается к конечной точке метаданных (что-то вроде http://keycloak-lb.internal.company.com/ auth / realms / realm/.well-known/), оно получит конечные точки в http://keycloak-lb.internal.company.com/, и он просто перенаправит туда своих пользователей.

Обратите внимание, что экземпляры KC были настроены для работы с прокси-серверами с помощью параметра Forwarded-For. Исправление адреса сервера не сработает для нас, поскольку нам нужно, чтобы веб-приложение получало доступ к KC через адрес внутреннего балансировщика нагрузки.

Итак, чтобы подвести итог, мы ищем способ повлиять на конечные точки, релевантные пользователю keycloak.

Есть идеи? Спасибо