12.6. 客户端范围
使用红帽单点登录在名为 客户端范围 的实体中定义共享客户端配置。客户端范围 配置 多个客户端的协议 映射和角色范围映射。
客户端范围也支持 OAuth 2 范围 参数。客户端应用使用此参数来请求访问令牌中的声明或角色,具体取决于应用的要求。
要创建客户端范围,请按照以下步骤执行:
点击菜单中的 Client Scopes。
客户端范围列表
- 点 Create。
- 为您的客户端范围命名。
- 点 Save。
客户端范围 与常规客户端有类似的选项卡。您可以定义 协议映射程序 和角色 范围映射。这些映射可以被其他客户端继承,并配置为从这个客户端范围内继承这些映射。
12.6.1. 协议
创建客户端范围时,选择 协议。同一范围中的链接的客户端必须具有相同的协议。
每个 realm 在菜单中具有一组预定义的内置客户端范围。
- SAML 协议: role_list.此范围包含一个协议映射程序,用于 SAML 断言的角色列表。
OpenID Connect 协议: Several 客户端范围如下:
roles
这个范围没有在 OpenID Connect 规格中定义,它们不会自动添加到访问令牌中的 范围 声明中。此范围具有映射器,用于将用户的角色添加到访问令牌,并为至少具有一个客户端角色的客户端添加受众。在 Audience 部分中,详细阐述这些 映射程序。
web-origins
这个范围还没有在 OpenID Connect 规格中定义,且不会添加到声明访问令牌的范围中。此范围用于将允许的 Web 源添加到访问令牌 允许的声明中。
microprofile-jwt
此范围处理 MicroProfile/JWT Auth 规范 中定义的声明。此范围为 upn 声明定义了用户属性映射程序,以及 组 声明的域角色映射程序。这些映射程序可以更改,以便使用不同的属性来创建 MicroProfile/JWT 特定的声明。
offline_access
当客户端需要获取离线令牌时,会使用这个范围。有关离线令牌的详情,请参考 Offline Access 部分 以及 OpenID Connect 规格。
- 配置集
- address
- 电话
客户端范围、电子邮件、地址 和电话 在 OpenID Connect 规范 中定义。这些范围没有定义任何角色范围映射,但它们定义了协议映射。这些映射程序与 OpenID Connect 规范中定义的声明对应。
例如,当您打开 电话 客户端范围并打开 映射程序 标签时,您会看到与范围 电话 规范中定义的声明对应的协议映射程序。
客户端范围映射程序
当 电话 客户端范围连接到客户端时,客户端会自动继承 电话 客户端范围中定义的所有协议映射程序。为这个客户端发布的访问令牌包含用户的电话号码信息,假设该用户有定义的电话号码。
内置客户端范围包含规格中定义的协议映射程序。您可以自由编辑客户端范围,并创建、更新或删除任何协议映射程序或角色范围映射。
