18.3. 了解身份验证供应商

声明是身份提供程序的数据，其中包含他们发出的令牌内的用户。

使用声明映射，您可以指定 RHACS 是否应该自定义从 IDP 接收到的 claim 属性到 RHACS 发布的令牌中的另一个属性。如果不使用声明映射，RHACS 不会将 claim 属性包含在 RHACS-issued 令牌中。

例如，您可以使用声明映射，从用户身份中的角色映射到 RHACS-issued 令牌中的组。

RHACS 为每个身份验证供应商使用不同的默认声明映射。

要授权用户，RHACS 依赖于映射规则来检查特定声明的值，如来自用户身份的组、电子邮件、userid 和名称。规则允许将属性具有特定值的用户映射到特定角色。例如，一个规则可以包括以下内容：'key' 是 email，值为 john@redhat.com，角色是 Admin。

如果缺少声明，映射将无法成功，且用户无法访问所需资源。因此，要启用成功映射，您必须确保来自 IDP 的身份验证响应包括授权用户所需的声明，如 组。

RHACS 使用特定身份验证供应商发布的 RHACS 令牌为每个调用者分配最小访问角色。默认将最小访问角色设置为 None。

例如，假设有一个具有最低访问的角色 Analyst 的身份验证提供程序。在这种情况下，使用此提供程序登录的所有用户都将为其分配 Analyst 角色。

必要的属性可以根据用户身份是否具有带有特定值的属性来限制 RHACS 令牌发出。

例如，您可以将 RHACS 配置为仅在带有 key is_internal 的属性具有属性 true 时发布令牌。具有 is_internal 属性的用户设为 false 或未设置不会获取令牌。