9.8. 映射声明和断言

您可以将您通过身份验证的外部 IDP 提供的 SAML 和 OpenID Connect 元数据导入到域中。导入后,您可以提取用户配置集元数据和其他信息,以便您可供您的应用程序使用。

每个用户使用外部身份提供程序登录到您的域,在本地 Red Hat Single Sign-On 数据库中根据 SAML 或 OIDC 断言和声明的元数据,在本地 Red Hat Single Sign-On 数据库中都有一个条目。

流程

  1. 在菜单中,单击 Identity Providers
  2. 从列表中选择其中一个身份提供程序。

  3. Mappers 选项卡。

    身份提供程序映射器

    identity provider mappers

  4. Create

    身份提供程序映射器

    identity provider mapper

  5. Sync Mode Override 选择一个值。当用户根据此设置重复登录时,mapper 会更新用户信息。

    1. 选择 legacy,以使用上一个 Red Hat Single Sign-On 版本的行为。
    2. 选择 导入 以在首次使用特定身份提供程序登录 Red Hat Single Sign-On 中首次在 Red Hat Single Sign-On 中创建数据时,从 导入数据。
    3. 选择 强制 在每次用户登录时更新用户数据。
    4. 选择 继承,以使用身份提供程序中配置的同步模式。所有其他选项将覆盖此同步模式。
  6. Mapper Type 列表中选择一个映射程序。将鼠标悬停在 映射程序类型上,以获取映射程序和配置的说明,以输入 mapper。
  7. Save

对于基于 JSON 的声明,您可以使用点表示法来嵌套和方括号来按索引访问数组字段。例如,contact.address[0].country

要调查社交提供程序提供的用户配置集 JSON 数据的结构,您可以在服务器的 app-server 配置文件中(domain.xml 或 standalone.xml)启用 DEBUG 级别日志记录器 org.keycloak.social.user_profile_dump