第 4 章 使用外部存储

组织可以包含信息、密码和其他凭证的数据库。通常，您无法将现有数据存储迁移到 Red Hat Single Sign-On 部署，以便 Red Hat Single Sign-On 可以联合现有的外部用户数据库。Red Hat Single Sign-On 支持 LDAP 和 Active Directory，但您也可以使用 Red Hat Single Sign-On User Storage SPI 为任何自定义用户数据库的代码扩展。

当用户尝试登录时，Red Hat Single Sign-On 会检查该用户的存储来查找该用户。如果 Red Hat Single Sign-On 没有找到用户，Red Hat Single Sign-On 会迭代该域的每个用户存储供应商，直到它找到匹配项。来自外部数据存储的数据然后映射到红帽单点登录运行时使用的标准用户模型。然后，这个用户模型映射到 OIDC 令牌声明和 SAML 断言属性。

外部用户数据库很少有必要数据来支持 Red Hat Single Sign-On 的所有功能，因此用户存储供应商可以选择在红帽单点登录用户数据存储中本地存储项目。提供商可以在本地导入用户，并定期与外部数据存储进行同步。这种方法取决于提供程序的功能以及提供程序的配置。例如，外部用户数据存储可能不支持 OTP。OTP 可以被 Red Hat Single Sign-On 处理和存储，具体取决于供应商。