第14章 ユーザーストレージフェデレーション

多くの企業には、ユーザーおよびパスワードやその他の認証情報に関する情報を保持する既存のユーザーデータベースがあります。多くの場合、既存のストアから純粋な Red Hat Single Sign-On デプロイメントに移行することはできません。Red Hat Single Sign-On では、既存の外部データベースデータベースをフェデレーションできます。デフォルトでは LDAP および Active Directory をサポートしますが、User Storage SPI を使用してカスタムユーザーデータベースの独自の拡張をコード化することもできます。

Red Hat Single Sign-On は、ユーザーがログインしたときに、独自の内部ユーザーストアを検索し、ユーザーを見つけることです。これを見つけることができない場合、レルムに設定したすべての User Storage プロバイダーに対して一致を見つけるまで繰り返されます。外部ストアからのデータは、Red Hat Single Sign-On ランタイムが使用する共通のユーザーモデルにマッピングされます。この一般的なユーザーモデルは、OIDC トークン要求と SAML アサーション属性にマッピングできます。

外部データベースデータベースは、Red Hat Single Sign-On のすべての機能をサポートするのに必要なすべてのデータを持ちます。そのため、ユーザーストレージプロバイダーは Red Hat Single Sign-On ユーザーストアにローカルに格納できるものを選択できます。ユーザーをローカルにインポートし、外部ストアと定期的に同期しているプロバイダーもあります。この方法は、プロバイダーの機能と設定によって異なります。たとえば、外部ユーザーストアは OTP に対応していない可能性があります。プロバイダーによっては、この OTP は Red Hat Single Sign-On により処理および保存できます。