刚好我之前在Intel Linux服务器上搭过这套Keycloak+Nextcloud的SSO，给你一步步捋清楚，保证能跑通：

先把Keycloak这边的身份服务架子搭好：

• 新建专属Realm（推荐，比用默认master更清晰）
  登录Keycloak后台（https://kc.example.com/admin），左侧菜单栏点「Realm」→「Create realm」，输入名称比如nextcloud-realm，直接保存就行。
• 创建Nextcloud专属客户端
  进入刚建的nextcloud-realm，左侧点「Clients」→「Create client」：
  1. 客户端类型选「OpenID Connect」，客户端ID填nextcloud，点下一步；
  2. 开启「Client authentication」，根URL填https://nc.example.com，点下一步；
  3. 有效重定向URI必须填：https://nc.example.com/apps/user_sso/openid-connect/callback，顺手把https://nc.example.com也加上（防止跳转时的权限问题）；
  4. 确保「Standard flow enabled」是开启状态（Nextcloud用的是授权码流，这个必须开），然后保存；
  5. 切换到「Credentials」标签，复制生成的「Client secret」——这个后面Nextcloud配置要用到，别弄丢了。
• 配置测试用户（可选但必要）
  在这个realm里建个测试用户，左侧「Users」→「Create user」，填好用户名、邮箱，设置密码（在「Credentials」标签里设置临时密码，登录时会要求修改），确保用户状态是「Enabled」。

接下来搞定Nextcloud这边的SSO接入：

• 安装官方SSO插件
  登录Nextcloud后台（https://nc.example.com/settings/admin），进入「应用」→「应用商店」，搜索「User SSO」（官方维护的OpenID Connect插件，靠谱），安装并启用它。
• 配置OpenID Connect对接Keycloak
  安装完成后，进入「设置」→「安全」→「SSO & SAML authentication」，或者直接在应用列表里点User SSO的「设置」按钮：
  1. 点击「+ Add provider」→「OpenID Connect」；
  2. 填写基础信息：
     • 提供商名称：随便起，比如Keycloak 单点登录；
     • 授权端点：https://kc.example.com/realms/nextcloud-realm/protocol/openid-connect/auth；
     • 令牌端点：https://kc.example.com/realms/nextcloud-realm/protocol/openid-connect/token；
     • 用户信息端点：https://kc.example.com/realms/nextcloud-realm/protocol/openid-connect/userinfo；
     • 注销端点：https://kc.example.com/realms/nextcloud-realm/protocol/openid-connect/logout；
     • 客户端ID：就是刚才Keycloak里的nextcloud；
     • 客户端密钥：复制过来的那个「Client secret」；
  3. 用户属性映射（关键，确保用户信息能同步到Nextcloud）：
     在「属性映射」里设置：
     • Nextcloud属性 uid → Keycloak属性 preferred_username；
     • Nextcloud属性 mail → Keycloak属性 email；
     • Nextcloud属性 displayname → Keycloak属性 name；
       （如果Keycloak里的用户属性字段不一样，自己对应调整就行）
  4. 保存配置。
• 优化登录体验（可选）
  进入「设置」→「登录」，可以把Keycloak设为默认登录提供商，甚至隐藏Nextcloud原生的账号密码登录框，让用户直接用SSO登录。

现在来验证下能不能正常跑通：

1. 打开Nextcloud登录页（https://nc.example.com），应该能看到你设置的Keycloak登录按钮，点它；
2. 自动跳转到Keycloak的登录页，输入刚才创建的测试用户凭据，登录；
3. 登录成功后会自动跳转回Nextcloud，直接进入主页——这就说明SSO生效了；
4. 测试注销：在Nextcloud右上角点注销，应该会同时清空Keycloak的会话，下次登录得重新走Keycloak的验证流程。

如果遇到问题，先检查这几个地方：

• 重定向URI错误：Keycloak客户端的有效重定向URI必须包含Nextcloud的回调地址，少一个都不行；
• 时间不同步：OpenID Connect对时间敏感，Keycloak和Nextcloud服务器的时间差不能超过5分钟，同步下系统时间就行；
• 日志找问题：Nextcloud日志在/var/www/nextcloud/data/nextcloud.log，Keycloak日志在/opt/keycloak/logs/keycloak.log，里面会有具体的错误提示，照着排查就行。

内容的提问来源于stack exchange，提问作者MadMike