4.3.7. LDAP 映射器

LDAP 映射器是由 LDAP 提供程序触发 的监听程序。它们为 LDAP 集成提供了另一个扩展点。当以下情况时触发 LDAP 映射:

  • 用户使用 LDAP 登录。
  • 用户最初注册。
  • Admin Console 查询用户。

当您创建 LDAP Federation 提供者时,Red Hat Single Sign-On 会自动为此提供程序提供一组 映射程序。用户可以更改此设置,也可以开发映射程序或更新/删除现有的项。

用户属性映射程序
此映射程序指定了哪些 LDAP 属性映射到 Red Hat Single Sign-On 用户的 属性。例如,您可以将 mail LDAP 属性配置为 Red Hat Single Sign-On 数据库中 的电子邮件 属性。对于这一映射程序实施,始终存在一对一的映射。
FullName Mapper
此映射程序指定用户的全名。Red Hat Single Sign-On 将名称保存在 LDAP 属性中(通常为 cn),并将名称映射到 Red Hat Single Sign-On 数据库中的 firstNamelastname 属性。在 LDAP 部署中,使用 cn 使其包含用户的全名是通用的。
注意

当您在 Red Hat Single Sign-On 和 Sync Registrations 中注册新用户时,对于 LDAP 供应商而言,fullName mapper 将允许回退到用户名。在使用 Microsoft Active Directory (MSAD)时,这个回退很有用。MSAD 的常见设置是将 cn LDAP 属性配置为 fullName,同时将 cn LDAP 属性用作 LDAP 提供程序配置中 RDN LDAP 属性。通过这个设置,Red Hat Single Sign-On 会回退到用户名。例如,如果您创建 Red Hat Single Sign-On 用户 "john123" 并保留 firstName 和 lastName 空,则 fullname mapper 会将 "john123" 保存为 LDAP 中的 cn 的值。当您为 firstName 和 lastName 输入 "John Doe" 时,全name mapper 会更新 LDAP cn 到 "John Doe" 值,因为回退到用户名是不必要的。

硬编码属性映射
此映射程序为与 LDAP 链接的每个 Red Hat Single Sign-On 用户添加了一个硬编码的属性值。此映射程序还可以强制 启用电子邮件用户 属性的值。
角色映射程序
这个映射程序配置从 LDAP 到 Red Hat Single Sign-On 角色映射的角色映射。单个角色映射映射 LDAP 角色(通常是来自 LDAP 树的特定分支的组)到与指定客户端的域角色或客户端角色对应的角色。您可以为同一 LDAP 供应商配置更多角色映射程序。例如,您可以指定 ou=main,dc=example,dc=org map 下的组到 realm 角色映射,以及来自 ou=finance,dc=example,dc=org 下的组的 角色映射
硬编码的角色映射程序
此映射程序为来自 LDAP 提供商的每个 Red Hat Single Sign-On 用户授予指定的红帽单点登录角色。
组群映射程序
此映射程序将 LDAP 组从 LDAP 树分支映射到 Red Hat Single Sign-On 中的组。此映射还会将用户组映射从 LDAP 传播到 Red Hat Single Sign-On 中的 user-group 映射。
MSAD 用户帐户映射程序
此映射程序专用于 Microsoft Active Directory (MSAD)。它可以将 MSAD 用户帐户状态集成到 Red Hat Single Sign-On 帐户状态,如启用帐户或过期密码。这个映射程序使用 userAccountControlpwdLastSet LDAP 属性(特定于 MSAD),且不是 LDAP 标准。例如,如果 pwdLastSet 的值为 0, Red Hat Single Sign-On 用户必须更新其密码。其结果是添加至用户的 UPDATE_PASSWORD 必需操作。如果 userAccountControl 的值为 514 (禁用帐户),则代表红帽单点登录用户被禁用。
证书映射程序
这个映射映射 X.509 证书。Red Hat Single Sign-On 与其与 X.509 身份验证和完整 证书结合使用,采用 PEM 格式 作为身份源。此映射的行为与用户属性 映射程序 类似,但红帽单点登录可以过滤存储 PEM 或 DER 格式的 LDAP 属性。启用 Always Read Value from LDAP with this mapper.

将基本红帽单点登录用户属性(如用户名、名字、姓氏和电子邮件)映射到对应的 LDAP 属性的用户属性。您可以扩展这些属性并提供自己的额外属性映射。Admin Console 提供工具提示,可帮助配置对应的映射程序。