回答というわけではないのと、私もKeycloakの運用経験とかWeb APIの認証周りの実装経験とかあるわけでもなく、OpenID Connectについても浅い知識しかないのとで、こちらに書かせていただきます。 まずKeycloakには日本語のドキュメント（野村総合研究所のオープンソース関連部署が翻訳・公開してくれている）があるので、「項目の？マークをマウスオーバー」するだけじゃなくて、ドキュメントも参考にするといいと思います。 https://keycloak-documentation.openstandia.jp/ クライアントの作成に関してはここですね。 https://keycloak-documentation.openstandia.jp/master/ja_JP/server_admin/#_clients SSOプロトコル自体についての解説もあります。 https://keycloak-documentation.openstandia.jp/master/ja_JP/server_admin/#sso%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB 次にリダイレクトURIについてですが、ここ https://www.mhlw.go.jp/stf/newpage_14525.html の「別添資料１　OpenID Foundation の策定規格詳細」のPDFの10ページ（表紙も入れると11ページ）の図が一番分かりやすいかなと。 上から下に向かって処理が進んでいて、2回リダイレクトが出てきますが、2つ目のリダイレクト、「リダイレクトURI」っていうフキダシがついているリダイレクトのURIが、「有効なリダイレクトURI(valid redirect uris)」に入力するURIです。ここのURIで認可サーバからもらった認可コードを渡して、それと引き換えにアクセストークンとIDトークンをもらいます。 あとここのスライド https://www.slideshare.net/tkudo/oauth-oidc-api-security-yuzawaws の30〜31ページに、「クライアントの『リダイレクション・エンドポイント』」についての説明がありますが、この「リダイレクション・エンドポイント」が「リダイレクトURI」のことです。 この2つのPDF／スライドで説明されているフローはOpenID Connectの「認可コードフロー」というフローなわけですが、質問文中の「認証/認可は以下のフローをイメージしています」以下を読むと、本当にこの「認可コードフロー」を想定されているのかな…？ と疑問に感じるところではあります。