9.8. 映射声明和断言
您可以将您通过身份验证的外部 IDP 提供的 SAML 和 OpenID Connect 元数据导入到域中。导入后,您可以提取用户配置集元数据和其他信息,以便您可供您的应用程序使用。
每个用户使用外部身份提供程序登录到您的域,在本地 Red Hat Single Sign-On 数据库中根据 SAML 或 OIDC 断言和声明的元数据,在本地 Red Hat Single Sign-On 数据库中都有一个条目。
流程
- 在菜单中,单击 Identity Providers。
- 从列表中选择其中一个身份提供程序。
点 Mappers 选项卡。
身份提供程序映射器
点 Create。
身份提供程序映射器
为 Sync Mode Override 选择一个值。当用户根据此设置重复登录时,mapper 会更新用户信息。
- 选择 legacy,以使用上一个 Red Hat Single Sign-On 版本的行为。
- 选择 导入 以在首次使用特定身份提供程序登录 Red Hat Single Sign-On 中首次在 Red Hat Single Sign-On 中创建数据时,从 导入数据。
- 选择 强制 在每次用户登录时更新用户数据。
- 选择 继承,以使用身份提供程序中配置的同步模式。所有其他选项将覆盖此同步模式。
- 从 Mapper Type 列表中选择一个映射程序。将鼠标悬停在 映射程序类型上,以获取映射程序和配置的说明,以输入 mapper。
- 点 Save。
对于基于 JSON 的声明,您可以使用点表示法来嵌套和方括号来按索引访问数组字段。例如,contact.address[0].country。
要调查社交提供程序提供的用户配置集 JSON 数据的结构,您可以在服务器的 app-server 配置文件中(domain.xml 或 standalone.xml)启用 DEBUG 级别日志记录器 org.keycloak.social.user_profile_dump。
