Red Hat Summit16.4. 읽기 전용 사용자 속성
Red Hat Single Sign-On에 저장된 일반 사용자에게는 사용자 프로필과 관련된 다양한 속성이 있습니다. 이러한 속성에는 email, firstName 또는 lastName이 포함됩니다. 그러나 사용자에게는 일반적인 프로필 데이터가 아닌 메타데이터가 아닌 속성이 있을 수도 있습니다. 메타데이터 속성은 일반적으로 사용자에게 읽기 전용이어야 하며 일반적인 사용자는 Red Hat Single Sign-On 사용자 인터페이스 또는 계정 REST API에서 해당 속성을 업데이트할 수 없습니다. Admin REST API로 사용자를 생성하거나 업데이트할 때 일부 속성은 관리자에 대해 읽기 전용이어야 합니다.
메타데이터 속성은 일반적으로 해당 그룹의 속성입니다.
-
사용자 스토리지 공급자와 관련된 다양한 링크 또는 메타데이터입니다. 예를 들어 LDAP 통합의 경우
LDAP_ID속성에는 LDAP 서버에 있는 사용자 ID가 포함됩니다. -
사용자 스토리지가 프로비저닝한 메타데이터입니다. 예를 들어, LDAP에서 프로비저닝된
createdTimestamp는 항상 사용자 또는 관리자에 의해 읽기 전용이어야 합니다. -
다양한 인증 정보와 관련된 메타데이터입니다. 예를 들어
KERBEROS_PRINCIPAL속성은 특정 사용자의 kerberos 기본 이름을 포함할 수 있습니다. 마찬가지로 속성usercertificate에는 X.509 인증서의 데이터로 사용자를 바인딩하는 것과 관련된 메타데이터가 포함될 수 있으며 일반적으로 X.509 인증서 인증이 활성화될 때 사용됩니다. -
애플리케이션/클라이언트의 사용자 식별기와 관련된 메타데이터입니다. 예를 들어
saml.persistent.name.for.my_app에는 SAML NameID를 포함할 수 있습니다. 이 ID는 클라이언트 애플리케이션my_app에서 사용자 식별자로 사용합니다. - 속성 기반 액세스 제어(ABAC)에 사용되는 권한 부여 정책과 관련된 메타데이터입니다. 이러한 속성의 값은 권한 부여 결정에 사용될 수 있습니다. 따라서 이러한 속성을 사용자가 업데이트할 수 없는 것이 중요합니다.
장기적인 관점에서 Red Hat Single Sign-On에는 적절한 User Profile SPI가 있어 모든 사용자 속성을 세밀하게 구성할 수 있습니다. 현재 이 기능은 아직 완전히 제공되지 않습니다. 따라서 Red Hat Single Sign-On에는 사용자를 위한 읽기 전용 및 서버 수준에서 구성된 관리자에게 읽기 전용인 내부 사용자 속성 목록이 있습니다.
이는 Red Hat Single Sign-On 기본 공급자 및 기능에서 내부적으로 사용되는 읽기 전용 속성 목록입니다. 따라서 항상 읽기 전용입니다.
-
사용자:
KERBEROS_PRINCIPAL,LDAP_ID,LDAP_ENTRY_DN,CREATED_TIMESTAMP,create,TimestampuserCertificate,saml.persistent.name.for.*,ENABLED,EMAIL_VERIFIED -
관리자:
KERBEROS_PRINCIPAL,LDAP_ID,LDAP_ENTRY_DN,CREATED_TIMESTAMP,createTimestamp,modifyTimestamp
시스템 관리자는 이 목록에 속성을 추가할 수 있습니다. 이 구성은 현재 서버 수준에서 사용할 수 있습니다.
독립 실행형(-*).xml 파일에 이 구성을 Red Hat Single Sign-On 서버 하위 시스템의 구성에 추가할 수 있습니다.
<spi name="userProfile">
<provider name="legacy-user-profile" enabled="true">
<properties>
<property name="read-only-attributes" value="["foo","bar*"]"/>
<property name="admin-read-only-attributes" value="["foo"]"/>
</properties>
</provider>
</spi>다음과 같은 명령을 사용하여 JBoss CLI를 사용하여 구성할 수 있습니다.
/subsystem=keycloak-server/spi=userProfile/:add
/subsystem=keycloak-server/spi=userProfile/provider=legacy-user-profile/:add(properties={},enabled=true)
/subsystem=keycloak-server/spi=userProfile/provider=legacy-user-profile/:map-put(name=properties,key=read-only-attributes,value=[foo,bar*])
/subsystem=keycloak-server/spi=userProfile/provider=legacy-user-profile/:map-put(name=properties,key=admin-read-only-attributes,value=[foo])
이 예에서는 사용자와 관리자는 foo 특성을 업데이트할 수 없습니다. 사용자는 바로 시작하는 속성을 편집할 수 없습니다. 예를 들어 바 또는 장벽이 있습니다. 구성은 대/소문자를 구분하지 않으므로 이 예에서는 FOO 또는 BarRier 와 같은 속성도 거부됩니다. 와일드카드 문자 * 는 특성 이름의 마지막에만 지원되므로 관리자는 지정된 문자로 시작하는 모든 속성을 효과적으로 거부할 수 있습니다. 속성 중간에 있는 * 는 일반 문자로 간주됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}