3.2. SAML アサーションを使用したユーザー属性の追加
セキュリティーベンダー言語 (SAML) は、アイデンティティープロバイダー (IdP) とサービスプロバイダー (SP) 間のユーザー属性および承認認証情報の通信を可能にするオープン標準です。
Red Hat Single Sign-On (RH-SSO) を設定して、アサーションで必要な属性を返すことができます。OpenStack Identity サービスが SAML アサーションを受信すると、それらの属性を OpenStack ユーザーにマッピングします。IdP 属性を Identity サービスデータにマッピングするプロセスは、Federated Mapping と呼ばれます。詳しくは、「マッピングファイルの作成および Keystone にアップロード」をご覧ください。
以下のプロセスを使用して属性を SAML に追加します。
手順
- RH-SSO 管理 Web コンソールで、左上隅のドロップダウンリストから <_FED_RHSSO_REALM_> を選択します。
-
Configure
パネルからClients
を選択します。 -
keycloak-httpd-client-install が設定されたサービスプロバイダークライアントを選択します。SAML
EntityId
でクライアントを特定できます。 - タブの水平一覧から Mappers タブを選択します。
-
Mappers パネルで
Create
またはAdd Builtin
を選択し、プロトコルマッパーをクライアントに追加します。
他の属性を追加できますが、必要なのはユーザーがメンバーとなっているグループの一覧だけです。グループメンバーシップはユーザーの承認方法になります。