Nextcloud を Keycloak の SAML と連携し、試行錯誤は必要でしたが、問題なく認証できるようになりました。
クライアントソフトウェア(Mac, iPhone)からも問題なく利用できますが、SAML での WebDAV は問題があり、利用できませんでした。
SAML は非常に便利であり、かつセキュリティ的にも高度ではありますが、クライアント(ブラウザなど)に依存した技術であり、一概に全方位的に優れているかというと、そうではありません。
つまり、WebDAV を使用する必要がある場合、使用する WebDAV クライアントが SAML 認証に対応しているかが重要であり、対応していない場合、実質的に SAML を選定することはできないことになります。
このため、SAML にするとした場合、どのようなアクセス経路をこの設計でサポートするのか、を定義しおくことが重要です。
なお、LDAP 認証の場合、サーバーサイドで完結するため、SAML のような問題は発生しません。このようなトレードオフは他でもよくあることですが、Nextcloud で柔軟なアクセス経路を持たせたい場合は LDAP の方が有用かもしれませんね。
Nextcloud SAML 認証における WebDAV の問題