Коллеги, всем привет!

В настоящее время внедряем в своей организации КриптоПро DSS и хотим использовать для аутентификации пользователей СЦИ. В компании КриптоПро есть инструкция только для настройки интеграции Центра идентификации КриптоПро DSS c СЦИ на базе сервера ADFS, подключенного к корпоративному каталогу AD.
У нас в компании используется каталог OpenLdap, и пока у нас самостоятельно не получается их интегрировать друг с другом.
В настоящий момент мы видим два пути решения проблемы:

1. С использованием KeyCloak (https://www.keycloak.org/). В этом случае мы интегрируем KeyCloak c OpenLdap, это делается не сложно. Затем самостоятельно пытаемся настроить KeyCloak на интеграцию с КриптоПро DSS. Это представляется довольно сложной задачей.
   [list=2]
2. С использованием ADFS. В данном случае мы интегрируем доменный ADFS с OpenLdap*, такая возможность есть. После подключения настраиваем по инструкции от КриптоПро уже интеграцию ADFS с КриптоПро DSS (с использованием OpenID Connect 1.0).

Второй вариант представляется предпочтительным, потому что для наиболее сложного этапа есть инструкция от КриптоПро. Однако, при его реализации также возникают нерешаемые (пока) проблемы.

Просьба помочь советом, если кто-то из вас решал/успешно решил любую из этих задачу. Если получиться это сделать, планирую подготовить инструкцию для решения такой, видимо, не типовой ситуации и разместить ее где-то на форуме или даже передать в КриптоПро, чтобы другие так не мучались.

Заранее огромное спасибо!

*https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/identity/ad-fs/operations/Configure-AD-FS-to-authenticate-users-stored-in-LDAP-directories.md