12.4. 管理成员

在管理成员时，请考虑他们与组织的关系如何影响其帐户的生命周期。成员可以通过不同的流加入机构，每个流程都表示其帐户和组织之间的链接优势。

成员有两种：

受管成员是由机构管理的，它们不能存在于其机构之外。例如，考虑通过与机构关联的身份提供程序创建的帐户。该帐户不属于某个域，因为它是来自机构的联邦。在这种情况下，身份的单个来源是机构，其生命周期由机构控制。如果您删除了机构或成员，则该帐户也会从域中删除。

另一方面，非受管成员是在没有机构的情况下可以存在的那些成员。例如，在向机构中添加现有 realm 用户时，该帐户首先属于 realm，并且最终链接到某个机构。在这种情况下，删除机构或成员不会从域中删除帐户；域是身份的单一来源。

通过从列表中选择该用户并将用户添加到机构，现有的 realm 用户可以加入机构。

用户是机构的成员后，该用户可以像普通用户一样对域进行身份验证，并使用域支持的任何凭证。

管理员可以向用户发送电子邮件以加入组织。

另外，您还可以为名字和 Last name 字段提供一个值，以获得更个性化的电子邮件消息，使用带有接收电子邮件的首和姓氏。

邀请只是发送一个链接的电子邮件，该链接应点击该链接来执行加入机构的必要步骤。这些步骤取决于在域中已有帐户，或者在加入机构前是否创建新帐户。

如果电子邮件映射到域中现有用户，则用户遵循的步骤基本是确定有意加入该机构的步骤。

另一方面，如果没有用户与给定电子邮件地址关联，步骤将涉及通过域的自我注册流程创建新帐户。在这种情况下，用户被强制提供用于发送邀请的同一电子邮件地址。

组织可能具有自己的身份提供程序，作为其身份的单个数据源。在这种情况下，来自身份提供程序的用户会自动添加为机构的成员。

当用户通过与机构关联的身份提供程序加入机构时，它们会自动标记为受管成员。在这种情况下，它们将通过域中配置的代理登录流，并在成功验证后自动加入机构。

通过身份提供程序加入新成员可以通过自动将用户重定向到组织的身份提供程序，或者在登录页面时选择身份提供程序。

在这两种情况下，当用户提供电子邮件后，红帽构建的 Keycloak 将尝试根据电子邮件域与机构匹配。如果电子邮件域与组织匹配，并且身份提供程序与同一域关联，并且启用 电子邮件域匹配设置时重定向，则用户会自动重定向到身份提供程序。用户在身份提供程序验证并完成第一个代理登录流后，该用户会自动添加为机构成员。

另一方面，如果 在未启用电子邮件域匹配时重定向，但身份提供程序没有配置为 Hide on 登录页面，用户可以选择身份提供程序，然后重定向到身份提供程序以继续加入过程。

如需了解更多详细信息，请参阅管理身份提供程序。

您可以从机构中删除成员。

从您要删除的成员旁边的操作菜单中，单击 Remove。

从机构中删除成员时，请记住用户可能会或不能从域中删除，具体取决于该用户是受管或非受管成员。

如需了解更多详细信息，请参阅 受管和非受管成员。

来自联合供应商的用户也可以添加为机构的成员。唯一的例外是 LDAP 提供程序中的用户，导入模式已禁用。组织成员被添加到不与外部提供程序同步的内部组中，因此即使 LDAP 供应商具有模式 LDAP_ONLY 的组映射程序也无法被添加为机构的成员，因为成员不会与 LDAP 服务器同步。

换句话说，未导入的 LDAP 用户不能加入某个机构，因为成员资格不会存储在本地 DB 中，也无法存储在 LDAP 服务器中。因此，如果要使 LDAP 用户加入机构，请确保启用了 LDAP 供应商的导入模式。