49.7. Liste des modèles pour les fournisseurs d'identité externes
Les fournisseurs d'identité (IdP) suivants prennent en charge le flux d'autorisation des dispositifs OAuth 2.0 :
- Plate-forme d'identité Microsoft, y compris Azure AD
- GitHub
- Keycloak, y compris Red Hat Single Sign-On (SSO)
- Okta
Lorsque vous utilisez la commande ipa idp-add
pour créer une référence à l'un de ces IdP externes, vous pouvez spécifier le type d'IdP avec l'option --provider
, qui se développe en options supplémentaires comme décrit ci-dessous :
--provider=microsoft
Les IdP Microsoft Azure permettent un paramétrage basé sur l'identifiant du locataire Azure, que vous pouvez spécifier avec l'option
--organization
de la commandeipa idp-add
. Si vous avez besoin de la prise en charge de l'IdP live.com, spécifiez l'option--organization common
.Le choix de l'option
--provider=microsoft
permet d'utiliser les options suivantes. La valeur de l'option--organization
remplace la chaîne${ipaidporg}
dans le tableau.Option Valeur --auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize
--dev-auth-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode
--token-uri=URI
https://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token
--userinfo-uri=URI
--keys-uri=URI
https://login.microsoftonline.com/common/discovery/v2.0/keys
--scope=STR
openid email
--idp-user-id=STR
email
--provider=google
Le choix de
--provider=google
permet d'utiliser les options suivantes :Option Valeur --auth-uri=URI
--dev-auth-uri=URI
--token-uri=URI
--userinfo-uri=URI
--keys-uri=URI
--scope=STR
openid email
--idp-user-id=STR
email
--provider=github
Le choix de
--provider=github
permet d'utiliser les options suivantes :Option Valeur --auth-uri=URI
--dev-auth-uri=URI
--token-uri=URI
--userinfo-uri=URI
--keys-uri=URI
--scope=STR
user
--idp-user-id=STR
login
--provider=keycloak
Avec Keycloak, vous pouvez définir plusieurs domaines ou organisations. Comme il s'agit souvent d'une partie d'un déploiement personnalisé, l'URL de base et l'ID de domaine sont tous deux nécessaires, et vous pouvez les spécifier avec les options
--base-url
et--organization
de la commandeipa idp-add
:[root@client ~]# ipa idp-add MySSO --provider keycloak \ --org main --base-url keycloak.domain.com:8443/auth \ --client-id <your-client-id>
L'option
--provider=keycloak
permet d'utiliser les options suivantes. La valeur que vous indiquez dans l'option--base-url
remplace la chaîne${ipaidpbaseurl}
dans le tableau, et la valeur que vous indiquez pour l'option--organization `option replaces the string `${ipaidporg}
.Option Valeur --auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth
--dev-auth-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device
--token-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token
--userinfo-uri=URI
https://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo
--scope=STR
openid email
--idp-user-id=STR
email
--provider=okta
Après avoir enregistré une nouvelle organisation dans Okta, une nouvelle URL de base lui est associée. Vous pouvez spécifier cette URL de base avec l'option
--base-url
de la commandeipa idp-add
:[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>
Le choix de l'option
--provider=okta
permet d'utiliser les options suivantes. La valeur que vous spécifiez pour l'option--base-url
remplace la chaîne${ipaidpbaseurl}
dans le tableau.Option Valeur --auth-uri=URI
--dev-auth-uri=URI
--token-uri=URI
--userinfo-uri=URI
--scope=STR
openid email
--idp-user-id=STR
email
Ressources supplémentaires