12.8. クレームとアサーションのマッピング

レルムの環境に認証する外部 IDP が提供する SAML および OpenID Connect メタデータをインポートできます。これにより、ユーザープロファイルのメタデータやその他の情報を取得でき、アプリケーションが利用できるようにすることができます。

外部アイデンティティープロバイダー経由でレルムにログインする各新規ユーザーには、SAML または OIDC アサーションおよび要求からのメタデータに基づいて、ローカルの Red Hat Single Sign-On データベースで作成されるエントリーがあります。

レルムの Identity Providers ページに記載されている ID プロバイダーをクリックすると、IDP の Settings タブに移動します。このページには Mappers タブもあります。そのタブをクリックして、受信 IDP メタデータのマッピングを開始します。

このページには Create ボタンがあります。この作成 ボタンをクリックすると、ブローカーマッパーを作成できます。ブローカーマッパーは SAML 属性または OIDC ID/アクセストークン要求をユーザー属性とユーザーロールマッピングにインポートできます。

Mapper Type リストからマッパーを選択します。ツールチップにマウスをかざして、マッパーの機能の説明を表示します。ツールチップは、入力する必要のある設定情報についても説明します。Save をクリックすると、新しいマッパーが追加されます。

JSON ベースの要求では、ドット表記を使用して、インデックスでアレイフィールドにアクセスするため、ネスト化と角括弧を使用します。たとえば、'contact.address[0].country' です。

ソーシャルプロバイダーが提供するユーザープロファイル JSON データの構造を調べるには、DEBUG レベルのロガー org.keycloak.social.user_profile_dump を有効にします。これは、サーバーの app-server 設定ファイル (domain.xml または standalone.xml) で実行されます。