52.4. 外部 IdP 経由での IdM ユーザーの認証を有効にする方法

外部 ID プロバイダー (IdP) 経由で IdM ユーザーを認証できるようにするには、以前に作成した外部 IdP 参照をユーザーアカウントに関連付けます。この例では、外部 IdP 参照 keycloak-server1 をユーザー external-idp-user に関連付けます。

前提条件

  • IdM クライアントと IdM サーバーで RHEL 8.7 以降を使用している。
  • IdM クライアントと IdM サーバーで SSSD 2.7.0 以降を使用している。
  • IdM で IdP への参照を作成している。外部 ID プロバイダーへの参照の作成 を参照してください。

手順

  • IdM ユーザーエントリーを変更して、IdP 参照をユーザーアカウントに関連付けます。 

    [root@server ~]# ipa user-mod external-idp-user \
               --idp my-keycloak-idp \
               --idp-user-id external-idp-user@idm.example.com \
               --user-auth-type=idp
---------------------------------
Modified user "external-idp-user"
---------------------------------
  User login: external-idp-user
  First name: Test
  Last name: User1
  Home directory: /home/external-idp-user
  Login shell: /bin/sh
  Principal name: external-idp-user@idm.example.com
  Principal alias: external-idp-user@idm.example.com
  Email address: external-idp-user@idm.example.com
  UID: 35000003
  GID: 35000003
  User authentication types: idp
  External IdP configuration: keycloak
  External IdP user identifier: external-idp-user@idm.example.com
  Account disabled: False
  Password: False
  Member of groups: ipausers
  Kerberos keys available: False

検証

  • そのユーザーの ipa user-show コマンド出力に IdP への参照が表示されることを確認します。 

    [root@server ~]# ipa user-show external-idp-user
  User login: external-idp-user
  First name: Test
  Last name: User1
  Home directory: /home/external-idp-user
  Login shell: /bin/sh
  Principal name: external-idp-user@idm.example.com
  Principal alias: external-idp-user@idm.example.com
  Email address: external-idp-user@idm.example.com
  ID: 35000003
  GID: 35000003
  User authentication types: idp
  External IdP configuration: keycloak
  External IdP user identifier: external-idp-user@idm.example.com
  Account disabled: False
  Password: False
  Member of groups: ipausers
  Kerberos keys available: False