支持控制台(Console)开发人员开始试用联系人

4.3.7. LDAP 映射器

LDAP 映射器是由 LDAP 提供程序触发 的监听程序。它们为 LDAP 集成提供了另一个扩展点。当以下情况时触发 LDAP 映射:

  • 用户使用 LDAP 登录。
  • 用户最初注册。
  • Admin Console 查询用户。

当您创建 LDAP Federation 提供者时,Red Hat Single Sign-On 会自动为此提供程序提供一组 映射程序。用户可以更改此设置,也可以开发映射程序或更新/删除现有的项。

用户属性映射程序
此映射程序指定了哪些 LDAP 属性映射到 Red Hat Single Sign-On 用户的 属性。例如,您可以将 mail LDAP 属性配置为 Red Hat Single Sign-On 数据库中 的电子邮件 属性。对于这一映射程序实施,始终存在一对一的映射。
FullName Mapper
此映射程序指定用户的全名。Red Hat Single Sign-On 将名称保存在 LDAP 属性中(通常为 cn),并将名称映射到 Red Hat Single Sign-On 数据库中的 firstNamelastname 属性。在 LDAP 部署中,使用 cn 使其包含用户的全名是通用的。
注意

当您在 Red Hat Single Sign-On 和 Sync Registrations 中注册新用户时,对于 LDAP 供应商而言,fullName mapper 将允许回退到用户名。在使用 Microsoft Active Directory (MSAD)时,这个回退很有用。MSAD 的常见设置是将 cn LDAP 属性配置为 fullName,同时将 cn LDAP 属性用作 LDAP 提供程序配置中 RDN LDAP 属性。通过这个设置,Red Hat Single Sign-On 会回退到用户名。例如,如果您创建 Red Hat Single Sign-On 用户 "john123" 并保留 firstName 和 lastName 空,则 fullname mapper 会将 "john123" 保存为 LDAP 中的 cn 的值。当您为 firstName 和 lastName 输入 "John Doe" 时,全name mapper 会更新 LDAP cn 到 "John Doe" 值,因为回退到用户名是不必要的。

硬编码属性映射
此映射程序为与 LDAP 链接的每个 Red Hat Single Sign-On 用户添加了一个硬编码的属性值。此映射程序还可以强制 启用电子邮件用户 属性的值。
角色映射程序
这个映射程序配置从 LDAP 到 Red Hat Single Sign-On 角色映射的角色映射。单个角色映射映射 LDAP 角色(通常是来自 LDAP 树的特定分支的组)到与指定客户端的域角色或客户端角色对应的角色。您可以为同一 LDAP 供应商配置更多角色映射程序。例如,您可以指定 ou=main,dc=example,dc=org map 下的组到 realm 角色映射,以及来自 ou=finance,dc=example,dc=org 下的组的 角色映射
硬编码的角色映射程序
此映射程序为来自 LDAP 提供商的每个 Red Hat Single Sign-On 用户授予指定的红帽单点登录角色。
组群映射程序
此映射程序将 LDAP 组从 LDAP 树分支映射到 Red Hat Single Sign-On 中的组。此映射还会将用户组映射从 LDAP 传播到 Red Hat Single Sign-On 中的 user-group 映射。
MSAD 用户帐户映射程序
此映射程序专用于 Microsoft Active Directory (MSAD)。它可以将 MSAD 用户帐户状态集成到 Red Hat Single Sign-On 帐户状态,如启用帐户或过期密码。这个映射程序使用 userAccountControlpwdLastSet LDAP 属性(特定于 MSAD),且不是 LDAP 标准。例如,如果 pwdLastSet 的值为 0, Red Hat Single Sign-On 用户必须更新其密码。其结果是添加至用户的 UPDATE_PASSWORD 必需操作。如果 userAccountControl 的值为 514 (禁用帐户),则代表红帽单点登录用户被禁用。
证书映射程序
这个映射映射 X.509 证书。Red Hat Single Sign-On 与其与 X.509 身份验证和完整 证书结合使用,采用 PEM 格式 作为身份源。此映射的行为与用户属性 映射程序 类似,但红帽单点登录可以过滤存储 PEM 或 DER 格式的 LDAP 属性。启用 Always Read Value from LDAP with this mapper.

将基本红帽单点登录用户属性(如用户名、名字、姓氏和电子邮件)映射到对应的 LDAP 属性的用户属性。您可以扩展这些属性并提供自己的额外属性映射。Admin Console 提供工具提示,可帮助配置对应的映射程序。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.