Büyük bela bu Keycloak falan kullan zaten çoğu full-fledged auth çözümünün upstream IdP desteği oluyor, AD'yi oraya bağlarsın. AuthN kolay da, AuthZ çok daha karmaşık bir konu. Orada policy engine gibi mevzular devreye giriyor, onu da muhtemelen Intranet'teki uygulamaların yanına Envoy ve OPA'yı sidecar olarak yerleştirip falan çözebilirsin. Olmadı uygulama kendisine paslanan JWT'ı validate ederken claim'leri kendi içinde çözümleyip ona göre yanıt döner, ama haliyle bu durumda her uygulamanın kodunda değişiklik yapılması gerekiyor.

Benim sizin koddan anladığım her uygulama PHP ile yazılma, session'lar da ortak. Her şeyi merkezileştirmeniz sizin yararınıza olur, bu pek akıl işi gelmedi bana. Bir de auth server'dan geçtikten sonra bir daha niye uygulamalara ayrı ayrı auth olunması gerekiyor onu anlamadım, bu zaman AD ve SSO kullanmanın mantığına aykırı bu şekilde.