2.4. IdM 사용자가 외부 IdP를 통해 인증할 수 있도록 활성화

IdM 사용자가 외부 ID 공급자(IdP)를 통해 인증할 수 있도록 하려면 이전에 생성한 외부 IdP 참조를 사용자 계정과 연결합니다. 이 예제에서는 외부 IdP 참조 keycloak-server1 을 사용자 external-idp-user 와 연결합니다.

사전 요구 사항

  • IdM 클라이언트 및 IdM 서버는 RHEL 9.1 이상을 사용하고 있습니다.
  • IdM 클라이언트 및 IdM 서버는 SSSD 2.7.0 이상을 사용하고 있습니다.
  • IdM에 IdP에 대한 참조가 생성되어 있습니다. 외부 ID 공급자에 대한 참조 생성을 참조하십시오.

절차

  • IdM 사용자 항목을 수정하여 IdP 참조를 사용자 계정과 연결합니다.

    [root@server ~]# ipa user-mod external-idp-user \
                   --idp my-keycloak-idp \
                   --idp-user-id external-idp-user@idm.example.com \
                   --user-auth-type=idp
    ---------------------------------
    Modified user "external-idp-user"
    ---------------------------------
      User login: external-idp-user
      First name: Test
      Last name: User1
      Home directory: /home/external-idp-user
      Login shell: /bin/sh
      Principal name: external-idp-user@idm.example.com
      Principal alias: external-idp-user@idm.example.com
      Email address: external-idp-user@idm.example.com
      UID: 35000003
      GID: 35000003
      User authentication types: idp
      External IdP configuration: keycloak
      External IdP user identifier: external-idp-user@idm.example.com
      Account disabled: False
      Password: False
      Member of groups: ipausers
      Kerberos keys available: False

검증

  • 해당 사용자의 ipa user-show 명령의 출력이 IdP에 대한 참조를 표시하는지 확인합니다.

    [root@server ~]# ipa user-show external-idp-user
      User login: external-idp-user
      First name: Test
      Last name: User1
      Home directory: /home/external-idp-user
      Login shell: /bin/sh
      Principal name: external-idp-user@idm.example.com
      Principal alias: external-idp-user@idm.example.com
      Email address: external-idp-user@idm.example.com
      ID: 35000003
      GID: 35000003
      User authentication types: idp
      External IdP configuration: keycloak
      External IdP user identifier: external-idp-user@idm.example.com
      Account disabled: False
      Password: False
      Member of groups: ipausers
      Kerberos keys available: False