49.7. Liste des modèles pour les fournisseurs d'identité externes
Les fournisseurs d'identité (IdP) suivants prennent en charge le flux d'autorisation des dispositifs OAuth 2.0 :
- Plate-forme d'identité Microsoft, y compris Azure AD
- GitHub
- Keycloak, y compris Red Hat Single Sign-On (SSO)
- Okta
Lorsque vous utilisez la commande ipa idp-add pour créer une référence à l'un de ces IdP externes, vous pouvez spécifier le type d'IdP avec l'option --provider, qui se développe en options supplémentaires comme décrit ci-dessous :
--provider=microsoftLes IdP Microsoft Azure permettent un paramétrage basé sur l'identifiant du locataire Azure, que vous pouvez spécifier avec l'option
--organizationde la commandeipa idp-add. Si vous avez besoin de la prise en charge de l'IdP live.com, spécifiez l'option--organization common.Le choix de l'option
--provider=microsoftpermet d'utiliser les options suivantes. La valeur de l'option--organizationremplace la chaîne${ipaidporg}dans le tableau.Option Valeur --auth-uri=URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/authorize--dev-auth-uri=URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/devicecode--token-uri=URIhttps://login.microsoftonline.com/${ipaidporg}/oauth2/v2.0/token--userinfo-uri=URI--keys-uri=URIhttps://login.microsoftonline.com/common/discovery/v2.0/keys--scope=STRopenid email--idp-user-id=STRemail--provider=googleLe choix de
--provider=googlepermet d'utiliser les options suivantes :Option Valeur --auth-uri=URI--dev-auth-uri=URI--token-uri=URI--userinfo-uri=URI--keys-uri=URI--scope=STRopenid email--idp-user-id=STRemail--provider=githubLe choix de
--provider=githubpermet d'utiliser les options suivantes :Option Valeur --auth-uri=URI--dev-auth-uri=URI--token-uri=URI--userinfo-uri=URI--keys-uri=URI--scope=STRuser--idp-user-id=STRlogin--provider=keycloakAvec Keycloak, vous pouvez définir plusieurs domaines ou organisations. Comme il s'agit souvent d'une partie d'un déploiement personnalisé, l'URL de base et l'ID de domaine sont tous deux nécessaires, et vous pouvez les spécifier avec les options
--base-urlet--organizationde la commandeipa idp-add:[root@client ~]# ipa idp-add MySSO --provider keycloak \ --org main --base-url keycloak.domain.com:8443/auth \ --client-id <your-client-id>L'option
--provider=keycloakpermet d'utiliser les options suivantes. La valeur que vous indiquez dans l'option--base-urlremplace la chaîne${ipaidpbaseurl}dans le tableau, et la valeur que vous indiquez pour l'option--organization `option replaces the string `${ipaidporg}.Option Valeur --auth-uri=URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth--dev-auth-uri=URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/auth/device--token-uri=URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/token--userinfo-uri=URIhttps://${ipaidpbaseurl}/realms/${ipaidporg}/protocol/openid-connect/userinfo--scope=STRopenid email--idp-user-id=STRemail--provider=oktaAprès avoir enregistré une nouvelle organisation dans Okta, une nouvelle URL de base lui est associée. Vous pouvez spécifier cette URL de base avec l'option
--base-urlde la commandeipa idp-add:[root@client ~]# ipa idp-add MyOkta --provider okta --base-url dev-12345.okta.com --client-id <your-client-id>Le choix de l'option
--provider=oktapermet d'utiliser les options suivantes. La valeur que vous spécifiez pour l'option--base-urlremplace la chaîne${ipaidpbaseurl}dans le tableau.Option Valeur --auth-uri=URI--dev-auth-uri=URI--token-uri=URI--userinfo-uri=URI--scope=STRopenid email--idp-user-id=STRemail
Ressources supplémentaires
