9.3. 常规配置
身份代理配置的基础是身份提供程序(IDP)。红帽构建的 Keycloak 为每个域创建身份提供程序,并默认为每个应用程序启用它们。当向应用程序签名时,域中的用户可以使用任何注册的身份提供程序。
流程
单击菜单中的 Identity Providers。
身份供应商
选择身份提供程序。Red Hat build of Keycloak 显示您选择的身份提供程序的配置页面。
添加 Facebook 身份提供程序
当您配置身份提供程序时,身份提供程序会出现在红帽构建的 Keycloak 登录页面中作为选项。您可以将自定义图标放在每个身份提供程序的登录屏幕上。如需更多信息,请参阅自定义图标。
IDP 登录页面
- 社交
- 社交供应商在您的域中启用社交身份验证。通过红帽构建的 Keycloak,用户可以使用社交网络帐户登录到您的应用程序。支持的供应商包括 Twitter、Facebook、Google、LinkedIn、Instagram、Microsoft、Pal、Openshift v3、GitLab、Bitbucket 和 Stack Overflow。
- 基于协议
- 基于协议的供应商依赖特定协议来验证和授权用户。使用这些供应商,您可以连接到符合特定协议的任何身份提供程序。红帽构建的 Keycloak 支持 SAML v2.0 和 OpenID Connect v1.0 协议。您可以根据这些开放标准配置和代理任何身份提供程序。
虽然每种类型的身份提供程序都有其配置选项,但所有共享一个通用配置。可用的配置选项:
| Configuration | 描述 |
|---|---|
| Alias |
alias 是身份提供程序的唯一标识符,并引用内部身份提供程序。Red Hat build of Keycloak 使用别名来为需要重定向 URI 或回调 URL 的 OpenID Connect 协议构建重定向 URI。所有身份提供程序都必须有一个别名。别名示例包括 |
| Enabled | 切换供应商 ON 或 OFF。 |
| 在登录页中隐藏 | 当 ON 时,Red Hat build of Keycloak 不会在登录页面中将此提供程序显示为登录选项。客户端可以使用 URL 中的 'kc_idp_hint' 参数来请求此提供程序。 |
| 仅限客户链接 | ON 时,红帽构建的 Keycloak 将现有帐户与这个供应商相关联。此供应商无法登录,红帽构建的 Keycloak 不会在登录页面上将这个供应商显示为选项。 |
| 存储令牌 | 在 ON 时,红帽构建的 Keycloak 存储来自身份提供程序的令牌。 |
| 存储的令牌可读 | 在 ON 时,用户可以检索存储的身份提供程序令牌。此操作也适用于 代理 客户端级别的角色 读取令牌。 |
| 信任电子邮件 | ON 时,红帽构建的 Keycloak 信任电子邮件地址来自身份提供程序。如果域需要电子邮件验证,则从此身份提供程序登录的用户不需要执行电子邮件验证过程。 |
| GUI 顺序 | 登录页面中可用身份提供程序的排序顺序。 |
| 验证基本声明 | 当 ON 时,身份提供程序发布的 ID 令牌必须具有特定的声明,否则用户无法通过这个代理进行身份验证 |
| 基本声明 | 当 验证基本 声明为 ON 时,要过滤的 JWT 令牌声明的名称(匹配区分大小写) |
| 基本声明值 | 当 验证基本 声明为 ON 时,要匹配的 JWT 令牌声明的值(支持正则表达式格式) |
| 第一个登录流 | 当用户使用此身份提供程序第一次登录到 Keycloak 的红帽构建时,Red Hat build of Keycloak 会触发。 |
| 后登录流 | 当用户完成使用外部身份提供程序登录时,Red Hat build of Keycloak 会触发。 |
| 同步模式 | 通过映射程序从身份提供程序更新用户信息的策略。在选择 旧的 时,红帽构建的 Keycloak 会使用当前的行为。导入 不会更新用户数据,并强制 更新用户数据。如需更多信息 ,请参阅身份提供程序映射程序。 |
