52.3. 创建对外部身份提供程序的引用
要将外部身份提供程序(IdP)连接到您的身份管理(IdM)环境,请在 IdM 中创建 IdP 参考。完成此流程,根据 Keycloak 模板创建一个名为 my-keycloak-idp 的引用。如需了解更多引用模板,请参阅 IdM 中对不同外部 IdP 的引用。
先决条件
- 您已将 IdM 作为 OAuth 应用程序注册到外部 IdP,并获取了客户端 ID。
- 您可以作为 IdM admin 帐户进行身份验证。
- 您的 IdM 服务器使用 RHEL 8.7 或更高版本。
- 您的 IdM 服务器使用 SSSD 2.7.0 或更高版本。
流程
在 IdM 服务器中作为 IdM 管理员进行身份验证。
[root@server ~]# kinit admin
根据 Keycloak 模板,创建一个名为
my-keycloak-idp
的引用,其中--base-url
选项指定 Keycloak 服务器的 URL,格式为server-name.$DOMAIN:$PORT/prefix
。[root@server ~]# ipa idp-add my-keycloak-idp \ --provider keycloak --organization main \ --base-url keycloak.idm.example.com:8443/auth \ --client-id id13778 ------------------------------------------------ Added Identity Provider reference "my-keycloak-idp" ------------------------------------------------ Identity Provider reference name: my-keycloak-idp Authorization URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/auth Device authorization URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/auth/device Token URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/token User info URI: https://keycloak.idm.example.com:8443/auth/realms/main/protocol/openid-connect/userinfo Client identifier: ipa_oidc_client Scope: openid email External IdP user identifier attribute: email
验证
验证
ipa idp-show
命令的输出显示您创建的 IdP 引用。[root@server ~]# ipa idp-show my-keycloak-idp
其他资源