Bonjour,
Je vois très bien ce que vous souhaitez mettre en place.
En effet, j'ai mené un projet similaire très récemment (sans nécessairement utiliser Keycloak).
Ce projet a consisté à la création d'un projet JAVA SpringBoot (spring-security) :
==> SSO via protocole OAuth2/OIDC.
==> Social connect (Google, Facebook, Apple) lié au RCU
==> RefreshToken, Customisation des claims et sécurisation du Token
En complément, j'ai accompagné à la fois les équipes études, infra, RSSI, métiers et partenaires (SSO) à la compréhension des concepts et les sensibiliser à la sécurité.
Un audit sécurité (PenTest) a été effectué à l'issue de la mise en oeuvre prouvant la fiabilité de la solution.
Je vous propose d'effectuer une pré-évaluation la solution Keycloak.
Le but est de vous présenter : schémas d'architecture et BPMN de ce que j'ai pu déjà réaliser afin de le mettre en perspective au regard des particularités que vous avez déjà énoncés.