9.6. SAML v2.0 身份提供程序

服务提供商实体 ID

远程身份提供程序用来识别来自此服务提供商的请求的 SAML 实体 ID。默认情况下，此设置设置为 realm 基础 URL < root>/realms/{realm-name}。

身份提供程序实体 ID

用于验证收到的 SAML 断言颁发者的实体 ID。如果为空，则不会执行 Issuer 验证。

单点登录服务 URL

启动身份验证进程的 SAML 端点。如果您的 SAML IDP 发布 IDP 实体描述符，则会在其中指定此字段的值。

工件服务 URL

SAML 工件解析端点。如果您的 SAML IDP 发布 IDP 实体描述符，则会在其中指定此字段的值。

单 Logout 服务 URL

SAML 注销端点。如果您的 SAML IDP 发布 IDP 实体描述符，则会在其中指定此字段的值。

Backchannel Logout

如果您的 SAML IDP 支持频道注销，请将此开关切换为 ON。

NameID 策略格式

与名称标识符格式对应的 URI 引用。默认情况下，Red Hat build of Keycloak 把它设置为 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent。

主体类型

指定 SAML 断言将使用哪个部分来识别和跟踪外部用户身份。可以是 Subject NameID 或 SAML 属性（按名称或友好的名称）。subject NameID 值不能与 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient' NameID Policy Format 值一起设置。

主体属性

如果 Principal 类型不是空的，此字段指定了名称("Attribute [Name]")或识别属性的友好名称("Attribute [Friendly Name]")。

允许创建

允许外部身份提供程序创建新标识符来代表主体。

http-POST 绑定响应

控制 SAML 绑定，以响应外部 IDP 发送的任何 SAML 请求。当 OFF 时，红帽构建的 Keycloak 使用 Redirect Binding。

ARTIFACT 绑定响应

控制 SAML 绑定，以响应外部 IDP 发送的任何 SAML 请求。当 OFF 时，红帽构建的 Keycloak 会评估 HTTP-POST Binding Response 配置。

AuthnRequest 的 http-POST Binding

在从外部 IDP 请求身份验证时控制 SAML 绑定。当 OFF 时，红帽构建的 Keycloak 使用 Redirect Binding。

Want AuthnRequests Signed

当 ON 时，红帽构建的 Keycloak 使用域的密钥对来签署发送到外部 SAML IDP 的请求。

想要指定注册

指明此服务提供商是否需要签名的断言。

需要被加密

指明此服务提供商是否需要加密的断言。

签名算法

如果 Want AuthnRequests Signed 为 ON，要使用的签名算法。请注意，基于 SHA1 的算法已弃用，并可能在以后的版本中删除。我们建议使用一些更安全的算法，而不是 *_SHA1。另外，对于 *_SHA1 算法，如果 SAML 身份提供程序（例如，红帽构建的 Keycloak 实例）在 Java 17 或更高版本上运行时，验证签名无法正常工作。

加密算法

加密算法，供 SAML IDP 用于 SAML 文档、断言或 ID 加密。将根据此配置的算法选择解密 SAML 文档部分的对应解密密钥，并应在用于加密(ENC)使用的域密钥中使用。如果没有配置算法，则允许任何支持的算法，并根据 SAML 文档本身中指定的算法选择解密密钥。

SAML 签名密钥名称

使用 POST 绑定发送的 SAML 文档包含 KeyName 元素中的签名密钥的标识，默认情况下，其中包含红帽构建的 Keycloak 密钥 ID。外部 SAML IDP 可以预期不同的密钥名称。这个交换机控制 KeyName 是否包含：* KEY_ID - Key ID。* CERT_SUBJECT - 来自与 realm 密钥对应的证书的主题。Microsoft Active Directory Federation Services 期望 CERT_SUBJECT.* NONE - 红帽构建的 Keycloak 省略了 SAML 信息中的键名称提示。

强制身份验证

用户必须在外部 IDP 中输入其凭证，即使用户已经登录。

验证签名

当 ON 时，域预期来自外部 IDP 的 SAML 请求和响应进行数字签名。

元数据描述符 URL

身份提供程序发布 IDPSSODescriptor 元数据的外部 URL。当点 Reload keys 或 Import keys 操作时，这个 URL 用于下载身份提供程序证书。

使用元数据描述符 URL

当 ON 时，验证签名的证书会自动从 元数据描述符 URL 下载，并缓存在红帽构建的 Keycloak 中。SAML 供应商可以通过两种不同的方式验证签名。如果请求了特定证书（通常在 POST 绑定中），且它不在缓存中，则会自动从 URL 刷新证书。如果请求所有证书来验证签名(REDIRECT 绑定)只有在最大缓存时间后才进行刷新（请参阅所有供应商配置指南中的 public-key-storage spi）。也可以使用身份提供程序页面中的操作 Reload Keys 来手动更新缓存。

当选项为 OFF 时，使用 Validating X509 Certificates 中的证书来验证签名。

验证 X509 证书

当使用 元数据描述符 URL 为 OFF 时，红帽构建的 Keycloak 用来验证 SAML 请求的签名和来自外部 IDP 的响应。可以使用逗号(、)输入多个证书。单击身份提供程序页面中的 Import Keys 操作，可以从 元数据描述符 URL 重新导入证书。此操作在 metadata 端点中下载当前证书，并将其分配给此选项中的配置。您需要点 Save 来一定存储重新导入的证书。

为服务提供商元数据签名

当 ON 时，红帽构建的 Keycloak 使用域的密钥对为 SAML 服务提供商元数据描述符 签名。

传递主题

控制红帽构建的 Keycloak 是否将 login_hint 查询参数转发到 IDP。Red Hat build of Keycloak 将此字段的值添加到 AuthnRequest 的 Subject 中的 login_hint 参数中，以便目的地供应商可以预先填充其登录表单。

属性消耗服务索引

标识设置为请求到远程 IDP 的属性。Red Hat build of Keycloak 会自动将身份提供程序配置中映射的属性添加到自动生成的 SP 元数据文档中。

属性消耗服务名称

自动生成的 SP 元数据文档中公告的属性集合的描述性名称。