13.4. OIDC 令牌和 SAML 断言映射

映射器实施具有 优先级顺序。优先级顺序 不是映射器的配置属性。它是映射器的 concrete 实现的属性。

Mappers 按照映射器列表的顺序排序。令牌或断言的更改会按照先应用最低的顺序应用。因此，依赖于其他实现的实现会按照必要顺序进行处理。

例如，要计算令牌中包含的角色：

用户会话详情使用映射程序定义，当您在客户端上使用或启用功能时，会自动包含。单击 Add builtin 以包括会话详细信息。

模拟用户会话提供以下详情：

服务帐户会话提供以下详情：

通过运行用户定义的 JavaScript 代码，使用 Script Mapper 将声明映射到令牌。有关将脚本部署到服务器的详情，请参阅 JavaScript 提供程序。

当脚本部署时，您应该能够从可用映射器列表中选择部署的脚本。

默认情况下，主题声明 sub 默认在默认客户端范围 basic 中映射 Subject (sub) 协议映射器。

要使用协议映射器（如 Pairwise 主题标识符 ）使用适当的主题标识符，您可以从 基本 客户端范围中删除 Subject (sub) 协议映射器。但是，在对 主题标识符映射器之前执行 Subject (sub) 协议映射程序 并不严格要求，因此对值将覆盖 Subject 映射器添加的值。这是因为 Subject mapper 的优先级。因此，删除内置 Subject (sub) 映射器的唯一优点是，通过避免使用协议映射器（可能没有任何效果）来节省一些性能。

红帽构建的 Keycloak 中的访问令牌包含敏感信息，包括个人 Identifiable 信息(PII)。因此，如果资源服务器不想向客户端等第三方实体披露此类信息，红帽构建的 Keycloak 支持从访问令牌中删除 PII 的轻量级访问令牌。另外，当资源服务器从访问令牌中删除了 PII 时，它可以通过将访问令牌发送到红帽构建的 Keycloak 令牌内省端点来获取 PII。