12.4. メンバーの管理

メンバーを管理するときは、メンバーと組織との関係がアカウントのライフサイクルにどのように影響するかを考慮してください。メンバーはさまざまなフローを通じて組織に参加でき、各フローはメンバーのアカウントと組織間のリンクの強さを示します。

メンバーには次の 2 種類があります。

管理対象メンバーは組織によって管理されるメンバーであり、組織外には存在できません。たとえば、組織に関連付けられたアイデンティティープロバイダーを通じて作成されたアカウントを考えてみましょう。そのアカウントは組織からフェデレーションされているため、レルムに属していません。この場合、アイデンティティーの唯一信頼できるソースは組織であり、そのライフサイクルは組織によって管理されます。組織またはメンバーを削除すると、アカウントもレルムから削除されます。

一方、管理対象外のメンバーは、組織がなくても存在できるメンバーです。たとえば、既存のレルムユーザーを組織に追加すると、アカウントはまず最初にレルムに属し、最終的には組織にリンクされます。この場合、組織またはメンバーを削除しても、アカウントはレルムから削除されません。レルムは、アイデンティティーの唯一信頼できるソースになります。

既存のレルムユーザーを組織に参加させるには、そのユーザーをリストから選択して組織に追加します。

ユーザーが組織のメンバーになると、そのユーザーは通常のユーザーと同じように、レルムでサポートされている認証情報を使用してレルムに認証できるようになります。

管理者は、組織へ参加するためのメールをユーザーに送信できます。

オプションで、First name および Last name フィールドに値を指定して、メール受信者の氏名を含む挨拶メッセージを使用して、よりパーソナライズされたメールメッセージを作成することもできます。

招待状とは基本的に、リンクを記載して送信されるメールのことです。組織に参加するために必要な手順を実行するには、ユーザーはこのリンクをクリックする必要があります。これらの手順は、そのユーザーがすでにレルム内にアカウントを持っているか、または組織に参加する前に新しいアカウントを作成する必要があるかによって異なります。

メールがレルム内の既存のユーザーにマップされる場合、ユーザーが実行する手順は基本的に、組織に参加する意思を確認することです。

一方、指定されたメールアドレスにユーザーが関連付けられていない場合は、レルムの自己登録フローを通じて新しいアカウントを作成する手順が必要になります。この場合、ユーザーは招待状の送信に使用したものと同じメールアドレスを入力する必要があります。

組織は、アイデンティティーの唯一の信頼できる情報源として、独自のアイデンティティープロバイダーを持つ場合があります。この場合、アイデンティティープロバイダーからフェデレーションされたユーザーは、組織のメンバーとして自動的に追加されます。

ユーザーが組織に関連付けられたアイデンティティープロバイダーを通じて組織に参加すると、自動的に管理対象メンバーとしてマークされます。この場合、ユーザーはレルムに設定された broker login flow を実行し、認証に成功すると自動的に組織に参加します。

アイデンティティープロバイダーを通じて新しいメンバーをオンボーディングするには、ユーザーを組織のアイデンティティープロバイダーに自動的にリダイレクトするか、ログインページでアイデンティティープロバイダーを選択します。

どちらの場合も、ユーザーがメールを提供すると、Red Hat build of Keycloak はメールのドメインに基づいて組織を照合しようとします。メールドメインが組織と一致し、アイデンティティープロバイダーが同じドメインに関連付けられ、Redirect when email domain matches の設定が有効になっている場合は、ユーザーは自動的にアイデンティティープロバイダーにリダイレクトされます。ユーザーがアイデンティティープロバイダーで認証し、first broker login フローを完了すると、そのユーザーは自動的に組織のメンバーとして追加されます。

一方、Redirect when email domain matches が有効になっていないが、アイデンティティープロバイダーが Hide on login page に設定されていない場合は、ユーザーがアイデンティティープロバイダーを選択すると、アイデンティティープロバイダーにリダイレクトされ、オンボーディングプロセスが続行されます。

詳細は、アイデンティティープロバイダーの管理 を参照してください。

組織からメンバーを削除できます。

削除するメンバーの横にあるアクションメニューから、Remove をクリックします。

組織からメンバーを削除する場合、そのユーザーが管理対象メンバーであるか管理対象外メンバーであるかに応じて、そのユーザーがレルムから削除される場合とされない場合があることに注意してください。

詳細は、管理対象メンバーと管理対象外メンバー を参照してください。

フェデレーションプロバイダーからのユーザーを組織のメンバーとして追加することもできます。唯一の例外は インポートモードが無効になっている LDAP プロバイダーのユーザーです。組織のメンバーは、外部プロバイダーと同期されていない内部グループに追加されるため、LDAP プロバイダーにモード LDAP_ONLY のグループマッパーがあっても、そのメンバーシップは LDAP サーバーと同期されないため、インポートされていないユーザーを組織のメンバーとして追加できません。

つまり、インポートされていない LDAP ユーザーは、メンバーシップがローカル DB にも LDAP サーバーにも保存されないため、組織に参加できません。したがって、LDAP ユーザーを組織に参加させる場合は、LDAP プロバイダーのインポートモードが有効になっていることを確認してください。