3.2. SAML アサーションのユーザー属性の追加
SAML アサーションは、ユーザーにバインドされるプロパティー(ユーザーメタデータなど)に keystone に送信することができます(例: ユーザーメタデータ)。これらは SAML の 属性 と呼ばれます。アサーションで必要な属性を返すように RH-SSO を設定する必要があります。keystone が SAML アサーションを受け取ると、keystone がこれらの属性をユーザーのメタデータにマッピングし、keystone が処理できるようにします。IdP 属性を keystone データにマッピングするプロセスは Federated Mapping と呼ばれ、本ガイドで後ほど説明します( 「マッピングファイルの作成および Keystone にアップロード」を参照)。
RH-SSO は、返された属性 プロトコルマッピング を追加するプロセスを呼び出します。プロトコルマッピングは、RH-SSO クライアントのプロパティーです(例: RH-SSO レルムに追加されたサービスプロバイダー(SP)など)。特定の属性を SAML に追加するプロセスは、同様のプロセスに従います。
RH-SSO 管理 Web コンソールで、以下を実行します。
-
左上隅のドロップダウンリストから
$FED_RHSSO_REALM
を選択します。 -
左側の
Configure
パネルからClients
を選択します。 -
keycloak-httpd-client-install
によって設定された SP クライアントを選択します。これは SAMLEntityId
によって識別されます。 -
クライアントパネルの上部にあるタブの水平リストから
Mappers
タブを選択します。 -
右上の
Mappers
パネルには、Create
およびAdd Builtin
の 2 つのボタンがあります。このボタンのいずれかを使用して、プロトコルマッパーをクライアントに追加します。
必要な属性を追加できますが、この演習では、ユーザーが所属するグループの一覧のみが必要です(グループメンバーシップはユーザーの承認方法であるため)。