流程

1. 点菜单中的 Realm Settings。
2. 点 Theme 选项卡。
3. 将 国际化 设置为 ON。

流程

1. 点菜单中的 Realm Settings。

2. 点 Login 选项卡。

   登录标签页

   

3. 将 Forgot Password 切换到 ON。

   forgot password 链接会显示在您的登录页面中。

   忘记密码链接

   

4. 单击此链接，方便用户输入用户名或电子邮件地址并接收包含链接的电子邮件，以重置其凭证。

   Forgot password 页

   

流程

1. 在菜单中，单击 Authentication。
2. 点 Flows 选项卡。

3. 选择 Reset Credentials 流。

   重置凭证流

   

   如果您不想重置 OTP，请将 Reset OTP 要求设置为 Disabled。

4. 点 所需的 Actions 选项卡。确保启用了 Update Password。

流程

1. 点菜单中的 Realm Settings。
2. 点 Login 选项卡。

3. 将 Remember Me 开关切换为 ON。

   登录标签页

   

流程

1. 在 Admin 控制台中选择 realm。
2. 单击 Realm 设置。
3. 点 Keys 标签页。
4. 单击 Providers 选项卡。
5. 单击 Add keystore，再选择 rsa-generated。
6. 在 优先级 字段中输入数字。此数字决定了新密钥对是否成为活跃的密钥对。最高数字使密钥对处于活动状态。
7. 为 keysize 选择一个值。
8. 点 Save。

流程

1. 在 Admin 控制台中选择 realm。
2. 单击 Realm Settings。

3. 点 Keys 标签页。

   此时会出现 Active key 列表。

4. 在带有 RSA 密钥的行中，点 Public Keys 下的 Certificate。

   证书以文本形式出现。

5. 将证书保存到文件中，并将其放在这些行中。

   ----Begin Certificate----
   <Output>
   ----End Certificate----

6. 使用 keytool 命令将密钥文件转换为 PEM 格式。

7. 从密钥存储中删除当前的 RSA 公钥证书。

   keytool -delete -keystore <keystore>.jks -storepass <password> -alias <key>

8. 将新证书导入到密钥存储中

   keytool -importcert -file domain.crt -keystore <keystore>.jks -storepass <password>  -alias <key>

9. 取消部署并重新构建应用。

   wildfly:undeploy
   mvn clean install wildfly:deploy

流程

1. 在 Admin 控制台中选择 realm。
2. 单击 Realm 设置。
3. 点 Keys 标签页。
4. 单击 Providers 选项卡。
5. 单击 Add keystore，再选择 rsa。
6. 在 优先级 字段中输入数字。此数字决定了新密钥对是否成为活跃的密钥对。
7. 点 Private RSA Key 旁边的 Select file 来上传私钥文件。
8. 如果您的私钥有签名证书，点 Select file beside X509 Certificate to upload the certificate file。如果您尚未上传证书，红帽单点登录会生成自签名证书。
9. 点 Save。

流程

1. 在 Admin 控制台中选择 realm。
2. 单击 Realm 设置。
3. 点 Keys 标签页。
4. 单击 Providers 选项卡。
5. 单击 Add keystore，再选择 java-keystore。
6. 在 优先级 字段中输入数字。此数字决定了新密钥对是否成为活跃的密钥对。
7. 为 Keystore 输入一个值。
8. 为" 密钥存储密码"输入值。
9. 为 Key Alias 输入值。
10. 为"密钥密码 "输入值。
11. 点 Save。

流程

1. 在 Admin 控制台中选择 realm。
2. 点 Realm 设置。
3. 点 Keys 标签页。
4. 点 Active 标签页。
5. 点击您要进行被动的键的供应商。
6. 将 Active 切换到 OFF。
7. 点 Save。

流程

1. 在 Admin 控制台中选择 realm。
2. 点 Realm 设置。
3. 点 Keys 标签页。
4. 点 Active 标签页。
5. 点击您要进行被动的键的供应商。
6. 将 Enabled 切换到 OFF。
7. 点 Save。

流程

1. 点菜单中的 Clients。
2. 单击 security-admin-console。
3. 单击 Revocation 选项卡。
4. 单击 Set to now。
5. 点 Push。

流程

1. 点菜单中的 User Federation。

   用户联合

   

2. 从 Add Provider 列表中选择 ldap。Red Hat Single Sign-On 为您提供了 LDAP 配置页面。

流程

1. 使用以下命令运行 FreeIPA 服务器：

    docker run --name freeipa-server-container -it \
    -h server.freeipa.local -e PASSWORD=YOUR_PASSWORD \
    -v /sys/fs/cgroup:/sys/fs/cgroup:ro \
    -v /var/lib/ipa-data:/data:Z freeipa/freeipa-server

   带有 server.freeipa.local 的参数 -h 代表 FreeIPA/IdM 服务器主机名。将 your R_PASSWORD 更改为您自己的密码。

2. 容器启动后，将 /etc/hosts 文件更改为包括：

   x.x.x.x     server.freeipa.local

   如果没有进行此更改，您必须设置 DNS 服务器。

3. 使用以下命令在 IPA 域中注册 Linux 服务器，以便 SSSD 联合供应商在红帽单点登录上启动并运行：

    ipa-client-install --mkhomedir -p admin -w password

4. 在客户端上运行以下命令验证安装是否正常工作：

    kinit admin

5. 输入您的密码。

6. 使用以下命令将用户添加到 IPA 服务器：

   $ ipa user-add <username> --first=<first name> --last=<surname> --email=<email address> --phone=<telephoneNumber> --street=<street> \      --city=<city> --state=<state> --postalcode=<postal code> --password

7. 使用 kinit 强制设置用户的密码。

    kinit <username>

8. 输入以下内容恢复常规 IPA 操作：

   kdestroy -A
   kinit admin

流程

1. 安装 sssd-dbus RPM。

   $ sudo yum install sssd-dbus

2. 运行以下置备脚本：

   $ bin/federation-sssd-setup.sh

   此脚本对 /etc/sssd/sssd.conf 进行以下更改：

     [domain/your-hostname.local]
     ...
     ldap_user_extra_attrs = mail:mail, sn:sn, givenname:givenname, telephoneNumber:telephoneNumber
     ...
     [sssd]
     services = nss, sudo, pam, ssh, ifp
     ...
     [ifp]
     allowed_uids = root, yourOSUsername
     user_attributes = +mail, +telephoneNumber, +givenname, +sn

3. 运行 dbus-send 以确保设置成功。

   sudo dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe org.freedesktop.sssd.infopipe.GetUserGroups string:john

   如果设置成功，您会看到用户的组。如果此命令返回超时或错误，则 Red Hat Single Sign-On 上运行的联合供应商无法检索任何数据。通常会出现这个错误，因为服务器没有在 FreeIPA IdM 服务器中注册，或者没有访问 SSSD 服务的权限。

   如果您没有访问 SSSD 服务的权限，请确保运行 Red Hat Single Sign-On 服务器的用户位于以下部分的 /etc/sssd/sssd.conf 文件中：

   [ifp]
   allowed_uids = root, your_username

流程

1. 点菜单中的 Users。此时会显示 Users 页面。
2. 选择用户。
3. 点 Credentials 选项卡。
4. 在 Set Password 部分中键入新密码。

5. 点 Set Password。

   注意

   如果 Temporary 是 ON，用户在首次登录时必须更改密码。要允许用户保存提供的密码，可将 Temporary 设置为 OFF。用户必须单击 Set Password 以更改密码。

6. 或者，您可以发送电子邮件到请求用户重置密码的用户。

   1. 导航到 Credential Reset 下的 Reset Actions 列表。
   2. 从列表中选择 Update Password。
   3. 单击 Send Email。发送的电子邮件包含一个将用户定向到 Update Password 窗口的链接。
   4. 另外，您可以设置电子邮件链接的有效性。在 Realm Settings 中的 Tokens 选项卡中，这设置为默认的预设置。

流程

1. 点主菜单中的 Users。此时会显示 Users 页面。
2. 选择用户。
3. 点 Credentials 选项卡。
4. 导航到 Reset Actions 列表。
5. 点 Configure OTP。
6. 单击 Send Email。发送的电子邮件包含一个链接，将用户定向到 OTP 设置页面。

流程

1. 点主菜单中的 Realm Settings。
2. 点 Login 选项卡。
3. 将用户 注册 切换为 ON。
4. 点 Save。

流程

1. 点登录页面上的 Register 链接。此时会显示注册页面。
2. 输入用户配置集信息。
3. 输入新密码。
4. 点 Save。

流程

1. 点菜单中的 Users。
2. 从列表中选择一个用户。

3. 导航到 Required User Actions 列表。

   

4. 选择您要添加到帐户中的所有操作。
5. 单击操作名称旁边的 X 以将它删除。
6. 选择要添加的操作后点 Save。

流程

1. 在菜单中，单击 Authentication。
2. 点 所需的 Actions 选项卡。
3. 在 Default Action 列中，单击一个或多个所需操作的复选框。当新用户第一次登录时，必须执行选定的操作。

流程

1. 在菜单中，单击 Authentication。
2. 点 所需的 Actions 选项卡。
3. 启用 条款和条件 操作。
4. 编辑基本登录主题中的 terms.ftl 文件。

流程

1. 在菜单中，单击 Authentication。
2. 点 所需的 Actions 选项卡。

3. 在 Delete Account 行中，选择 Enabled。

   删除所需操作标签的帐户

   

流程

1. 点菜单中的 Users。
2. 选择用户。
3. 点 Role Mappings 选项卡。
4. 从 Client Roles 列表中，选择 account。
5. 在 Available Roles 下，选择 delete-account。

6. 点 Add selected。

   delete-account 角色

   

1. 登录到帐户控制台。

2. 在 Personal Info 页面的底部，点 Delete Account。

   删除帐户页面

   

3. 输入您的凭证并确认删除。

   删除确认

   

   注意

   此操作不可逆。将删除您在 Red Hat Single Sign-On 中的所有数据。

1. 点菜单中的 Groups。
2. 单击 Default Groups 选项卡。

流程

1. 在菜单中，单击 Authentication。
2. 单击 New。

流程

1. 在菜单中，单击 Authentication。
2. 点 Flows 选项卡。
3. 单击 New。
4. 输入浏览器密码 作为别名。
5. 点 Save。
6. 单击 Add execution。
7. 从下拉列表中选择 Cookie。
8. 点 Save。
9. 点 Alternative，Cookie 验证类型将它的 requirement 设置为 alternative。
10. 单击 Add execution。
11. 从下拉列表中选择 Kerberos。
12. 单击 Add execution。
13. 从下拉列表中选择 Identity Provider Redirector。
14. 点 Save。
15. 点 Alternative，Identity Provider Redirector 验证类型将它的 requirement 设置为 alternative。
16. 点 Add flow。
17. 输入 Forms 作为别名。
18. 点 Save。

19. 点 Alternative，Forms 验证类型将它的 requirement 设置为 alternative。

    浏览器流的常用部分

    

20. 点 Forms execution 的 Actions。
21. 选择 Add execute。
22. 从下拉列表中选择 Username Form。
23. 点 Save。
24. 单击 Username Form authentication type 所需的 Required，以将其要求设置为 required。

1. 点 Forms 子流的 Actions。
2. 点 Add flow。
3. 输入 Authentication 作为别名。
4. 点 Save。
5. 单击 Authentication 身份验证类型的必需，以设置其要求。
6. 点 Authentication 子流的 Actions。
7. 单击 Add execution。
8. 从下拉列表中选择 Webauthn Passwordless Authenticator。
9. 点 Save。
10. 点击 Webauthn Passwordent icator 身份验证类型的替代选择。
11. 点 Authentication 子流的 Actions。
12. 点 Add flow。
13. 输入 Password with OTP 作为一个别名。
14. 点 Save。
15. 点击 OTP 身份验证类型 的替代方案，将其要求设置为替代方案。
16. 点 带有 OTP 子流的密码 的 Actions。
17. 单击 Add execution。
18. 从下拉列表中选择 Password Form。
19. 点 Save。
20. 单击 Password Form authentication type 所需，以将其要求设置为必填。
21. 点 带有 OTP 子流的密码 的 Actions。
22. 单击 Add execution。
23. 从下拉列表中选择 OTP Form。
24. 点 Save。
25. 点击 OTP Form 身份验证类型所需的设置要求。

1. 单击 Bindings 选项卡。
2. 点击 Browser Flow 下拉列表。
3. 从下拉列表中选择 Browser Password-less。
4. 点 Save。

流程

1. 在菜单中，单击 Authentication。
2. 点 Flows 选项卡。
3. 单击 New。
4. 输入 Browser Incl Step up Mechanism 作为别名。
5. 点 Save。
6. 单击 Add execution。
7. 从 item 列表中选择 Cookie。
8. 点 Save。
9. 点 Alternative，Cookie 验证类型将它的 requirement 设置为 alternative。
10. 点 Add flow。
11. 输入 Auth Flow 作为别名。
12. 点 Save。
13. 点 Alternative，Auth Flow 验证类型将它的 requirement 设置为 alternative。

1. 为 Auth Flow 点 Actions。
2. 点 Add flow。
3. 输入 1st Condition Flow 作为别名。
4. 点 Save。
5. 为 1st Condition Flow 验证类型点击 Conditional，将其要求设置为条件。
6. 点 1st Condition Flow 的 Actions。
7. 单击 Add execution。
8. 从项列表中选择 Conditional - Authentication Level。
9. 点 Save。
10. 点 Conditional - Level Of Authentication authentication type 来设置其要求。
11. 点 Authentication Conditional - Level 的 Actions。
12. 单击 Config。
13. 输入 级别 1 作为别名。
14. 为验证级别(LoA)输入 1。
15. 将 Max Age 设置为 36000。这个值以秒为单位，相当于 10 小时，这是在 realm 中设置的默认 SSO Session Max 超时。因此，当用户使用此级别进行身份验证时，后续的 SSO 登录可以重新使用此级别，用户不需要通过这个级别进行身份验证，直到用户会话结束前，默认为 10 小时。

16. 点 Save

    为第一个身份验证级别配置条件

    

17. 点 1st Condition Flow 的 Actions。
18. 单击 Add execution。
19. 从 items 列表中选择 Username Password Form。
20. 点 Save。
21. 在 Username Password Form authentication type 中点 Required，以将其要求设置为 required。

1. 为 Auth Flow 点 Actions。
2. 点 Add flow。
3. 输入 2nd Condition Flow 作为一个别名。
4. 点 Save。
5. 为 2nd Condition Flow 验证类型点击 Conditional，将其要求设置为条件。
6. 点击 2nd Condition Flow 的 Actions。
7. 单击 Add execution。
8. 从项列表中选择 Conditional - Authentication Level。
9. 点 Save。
10. 点 Conditional - Level Of Authentication authentication type 来设置其要求。
11. 点 Authentication Conditional - Level 的 Actions。
12. 单击 Config。
13. 输入 Level 2 作为别名。
14. 在验证级别(LoA)输入 2。
15. 将 Max Age 设置为 0。因此，当用户验证时，此级别仅对当前身份验证有效，但不是后续 SSO 身份验证。因此，在请求此级别时，用户总是需要再次通过这个级别进行身份验证。

16. 点 Save

    配置第二个身份验证级别的条件

    

17. 点击 2nd Condition Flow 的 Actions。
18. 单击 Add execution。
19. 从 item 列表中选择 OTP Form。
20. 点 Save。
21. 点击 OTP Form 身份验证类型所需的设置要求。

1. 单击 Bindings 选项卡。
2. 点 Browser Flow 项列表。
3. 从项目列表中选择 Browser Incl Step up Mechanism。
4. 点 Save。

1. 最大期限的 1 条件配置为 300 秒。
2. 发送登录请求，但不请求任何cr。将使用 1 级别，用户需要使用用户名和密码进行身份验证。令牌将具有 acr=1。
3. 在 100 秒后发送另一个登录请求。由于 SSO 到期，用户会自动进行身份验证，令牌将返回 acr=1。
4. 另一登录请求在 201 秒后发出（自 2 中的身份验证后计算为 301 秒）由于 SSO 的关系，用户会自动进行身份验证，但令牌将在级别 1 被视为过期时返回 acr=0。
5. 发送另一个登录请求，但现在，它将在 声明 参数中明确请求为级别 1 的 ACR。用户需要使用用户名/密码重新进行身份验证，然后在令牌中返回 acr=1。

1. 单击 流的 Add execute。
2. 从项目列表中选择 User Session Count Limiter。
3. 点 Save。
4. 为 User Session Count Limiter 验证类型点 Required，将它的 requirement 设置为 required。
5. 单击 User Session Count Limiter 的 Actions。
6. 单击 Config。
7. 输入此配置的别名。
8. 输入用户可在此域中具有的最大会话数。如果使用 0，则禁用此检查。
9. 输入用户可为客户端拥有的最大会话数。如果使用 0，则禁用此检查。

10. 选择在达到限制后尝试创建会话时所需的行为。可用的 bahaviors 是：

    Deny new session - when a new session is requested and the session limit is reached, no new sessions can be created.
    Terminate oldest session - when a new session is requested and the session limit has been reached, the oldest session will be removed and the new session created.

11. 另外，还可在达到限制时添加自定义错误消息。

1. 在 Kerberos 数据库中添加一些用户主体。您还可以将 Kerberos 与 LDAP 集成，以便从 LDAP 服务器置备用户帐户。

2. 为 "HTTP" 服务添加服务主体。例如，如果 Red Hat Single Sign-On 服务器在 www.mydomain.org 上运行，请添加服务主体 HTTP/www.mydomain.org@<kerberos realm>。

   在 MIT Kerberos 中，您将运行"kadmin"会话。在带有 MIT Kerberos 的机器中，您可以使用以下命令：

流程

1. 安装 Kerberos 客户端。如果您的机器运行 Fedora、Ubuntu 或 RHEL，请安装 freeipa-client 软件包，其中包含 Kerberos 客户端和其他实用程序。

2. 配置 Kerberos 客户端（在 Linux 中，配置设置位于 /etc/krb5.conf 文件中）。

   将您的 Kerberos 域添加到配置中，并配置服务器运行的 HTTP 域。

   例如，对于 MYDOMAIN.ORG 域，您可以配置 domain_realm 部分，如下所示：

   [domain_realm]
     .mydomain.org = MYDOMAIN.ORG
     mydomain.org = MYDOMAIN.ORG

3. 使用 HTTP 主体导出 keytab 文件，并确保运行 Red Hat Single Sign-On 服务器的进程可以访问该文件。对于生产环境，请确保此文件只可由这个进程读取。

   对于以上 MIT Kerberos 示例，我们将 keytab 导出到 /tmp/http.keytab 文件。如果您的 密钥分发中心(KDC) 和 Red Hat Single Sign-On 在同一主机上运行，则该文件已可用。

1. 在菜单中，单击 Authentication。
2. 点 "Browser" 流。
3. 单击 Copy，以制作内置"Browser"流的副本。
4. 输入副本的名称。
5. 点 确定。
6. 点 Add policy 下拉列表中的 copy。
7. 单击 Add execution。
8. 点击 "X509/Validate Username Form"。

9. 点 Save。

   X509 执行

   

10. 点击上箭头按钮将"X509/Validate Username Forms"移到"Browser Forms"执行。

11. 将要求设置为"ALTERNATIVE"。

    X509 浏览器流

    

12. 单击 Bindings 选项卡。
13. 点击 Browser Flow 下拉列表。
14. 从下拉列表中选择浏览器流的副本。

15. 点 Save。

    X509 浏览器流绑定

    

1. 在菜单中，单击 Authentication。
2. 点 "Direct Grant" 流。
3. 单击 Copy，以制作"Direct Grant"流的副本。
4. 输入副本的名称。
5. 点 确定。
6. 单击"用户名验证"的 Actions 链接，再单击删除。
7. 点 Delete。
8. 单击"密码"的 Actions 链接，再单击删除。
9. 点 Delete。
10. 单击 Add execution。
11. 点 "X509/Validate Username"。

12. 点 Save。

    X509 直接授权执行

    

13. 按照 x509 浏览器流部分中介绍的步骤来设置 x509 身份验证配置。
14. 单击 Bindings 选项卡。
15. 点击 Direct Grant Flow 下拉列表。
16. 点新创建的 "x509 Direct Grant" 流。

17. 点 Save。

    X509 直接授权流绑定

    

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Bitbucket。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器标签页中，在 Bitbucket 云进程上执行 OAuth。当您点击 Add Consumer 时：

   1. 将 重定向 URI 的值粘贴到 Callback URL 字段中。
   2. 确保您在 帐户 部分中选择 Email 和 Read，以允许您的应用程序阅读电子邮件。
5. 请注意，创建消费者时的 Key 和 Secret 值 Bitbucket 会显示。
6. 在 Red Hat Single Sign-On 中，将 Key 的值粘贴到 Client ID 字段中。
7. 在 Red Hat Single Sign-On 中，将 Secret 的值粘贴到 Client Secret 字段中。
8. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Facebook。Red Hat Single Sign-On 显示 Facebook 身份提供程序的配置页面。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在单独的浏览器选项卡中，按照 Facebook 开发人员指南 的说明在 Facebook 中创建项目和客户端。

   1. 确保您的应用程序是一个网站类型应用程序。
   2. 在 Facebook Website 设置块的 Site URL 中输入重定向 URI 的值。
   3. 确保该应用是公共的。
5. 在 Red Hat Single Sign-On 的 Client ID 和 Client Secret 字段中输入来自 Facebook 的 Client ID 和 Client Secret 值。
6. 在 Default Scopes 字段中输入所需的范围。默认情况下，Red Hat Single Sign-On 使用 电子邮件 范围。有关 Facebook 范围的更多信息，请参阅 Graph API。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Github。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器标签页中，创建 OAUTH app。

   1. 在创建应用程序时，输入 Redirect URI 的值到 Authorization callback URL 字段。
   2. 请注意 OAUTH 应用管理页面中的客户端 ID 和客户端 secret。
5. 在 Red Hat Single Sign-On 中，将 Client ID 的值粘贴到 Client ID 字段中。
6. 在 Red Hat Single Sign-On 中，将 Client Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 GitLab。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器选项卡中，添加新的 GitLab 应用程序。

   1. 使用剪贴板中的 重定向 URI 作为 重定向 URI。
   2. 保存应用程序时，记录下 Client ID 和 Client Secret
5. 在 Red Hat Single Sign-On 中，将 Client ID 的值粘贴到 Client ID 字段中。
6. 在 Red Hat Single Sign-On 中，将 Client Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Google。

   添加身份提供程序

   

3. 在一个单独的浏览器选项卡中 ，打开 Google Cloud Platform 控制台。
4. 在 Google 应用的 Google 仪表板中，点 OAuth consent 屏幕 菜单。创建一个同意屏幕，确保用户类型同意屏幕是外部的。

5. 在 Google 仪表板中：

   1. 点 Credentials 菜单。
   2. 单击 CREATE CREDENTIALS - OAuth Client ID。
   3. 从 Application type 列表中，选择 Web 应用程序。
   4. 点 Create。
   5. 记录 您的客户端 ID 和 您的客户端 Secret。
6. 在 Red Hat Single Sign-On 中，将您的客户端 ID 的值粘贴到 Client ID 字段中。
7. 在 Red Hat Single Sign-On 中，将您的 Client Secret 的值粘贴到 Client Secret 字段中。
8. 在 Default Scopes 字段中输入所需的范围。默认情况下，Red Hat Single Sign-On 使用以下范围： openid 配置集 电子邮件。如需 Google 范围列表，请参阅 OAuth Playground。
9. 若要仅限制您 GSuite 组织成员可以进行访问，在 Hosted Domain 字段中输入 G Suite 域。
10. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 LinkedIn。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器标签页中，创建一个应用程序。

   1. 创建应用程序后，点 Auth 选项卡。
   2. 在 Authorized redirect URLs for your app 字段中输入 Redirect URI 的值。
   3. 记录 您的客户端 ID 和 您的客户端 Secret。
5. 在 Red Hat Single Sign-On 中，将 Client ID 的值复制到 Client ID。
6. 在 Red Hat Single Sign-On 中，将 Client Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Microsoft。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在单独的浏览器选项卡中，创建一个 Microsoft 应用程序。

   1. 单击 Add URL，将重定向 URL 添加到 Microsoft 应用。
   2. 请注意 应用程序 ID 和 应用程序 Secret。
5. 在 Red Hat Single Sign-On 中，将 Application ID 的值粘贴到 Client ID 字段中。
6. 在 Red Hat Single Sign-On 中，将 Application Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Openshift。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 使用 oc 命令行工具注册您的客户端。

   $ oc create -f <(echo '
   kind: OAuthClient
   apiVersion: v1
   metadata:
    name: kc-client 1
   secret: "..." 2
   redirectURIs:
    - "http://www.example.com/" 3
   grantMethod: prompt 4
   ')

先决条件

1. 安装 jq。
2. 在容器中配置的 X509_CA_BUNDLE，并设置为 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt。

流程

1. 在命令行中运行以下命令并记录 OpenShift 4 API URL 输出。

   curl -s -k -H "Authorization: Bearer $(oc whoami -t)" \https://<openshift-user-facing-api-url>/apis/config.openshift.io/v1/infrastructures/cluster | jq ".status.apiServerURL"

2. 在 Red Hat Single Sign-On 菜单中，单击 Identity Providers。

3. 从 Add provider 列表中，选择 Openshift。

   添加身份提供程序

   

4. 将 Redirect URI 的值复制到您的剪贴板。

5. 使用 oc 命令行工具注册您的客户端。

   $ oc create -f <(echo '
   kind: OAuthClient
   apiVersion: oauth.openshift.io/v1
   metadata:
    name: keycloak-broker 1
   secret: "..." 2
   redirectURIs:
    - "<copy pasted Redirect URI from OpenShift 4 Identity Providers page>" 3
   grantMethod: prompt 4
   ')

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表，选择 PayPal。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器选项卡中，打开 PayPal Developer 应用程序区域。

   1. 点击 Create App 创建 PayPal 应用程序。
   2. 记下客户端 ID 和客户端 Secret。单击 Show 链接来查看 secret。
   3. 确保选中了 与 PayPal 连接。
   4. 将 return URL 字段的值设置为 Red Hat Single Sign-On 中的 Redirect URI。
5. 在 Red Hat Single Sign-On 中，将 Client ID 的值复制到 Client ID。
6. 在 Red Hat Single Sign-On 中，将 Client Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Stack Overflow。

   添加身份提供程序

   

3. 在一个单独的浏览器选项卡中，在 Stack Apps 上注册您的应用程序。

   注册应用程序

   

   1. 在 Application Name 字段中输入应用程序名称。
   2. 在 OAuth Domain 字段中，输入 OAuth 域。

   3. 点 Register Your Application。

      设置

      

4. 记下 客户端 ID 和客户端 Secret。
5. 在 Red Hat Single Sign-On 中，将 Client ID 的值复制到 Client ID。
6. 在 Red Hat Single Sign-On 中，将 Client Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

先决条件

1. Twitter 开发人员帐户。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Twitter。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在单独的浏览器选项卡中，在 Twitter 应用管理中创建应用。

   1. 为名称和描述输入任何值。
   2. Website 的值可以是除 localhost 外的任何有效 URL。
   3. 将 重定向 URL 的值粘贴到 Callback URL 字段中。
   4. 在创建 Twitter 应用时，记录下 Keys and Access Tokens 中的 Consumer Key 和 Consumer Secret 的值。
5. 在 Red Hat Single Sign-On 中，将 Consumer Key 的值粘贴到 Client ID 字段中。
6. 在 Red Hat Single Sign-On 中，将 Consumer Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。

流程

1. 在菜单中，单击 Identity Providers。

2. 从 Add provider 列表中，选择 Instagram。Red Hat Single Sign-On 显示 Instagram 身份提供程序的配置页面。

   添加身份提供程序

   

3. 将 Redirect URI 的值复制到您的剪贴板。

4. 在一个单独的浏览器选项卡中，打开 Facebook 开发人员控制台。

   1. 点 My Apps。

   2. 选择 Add a New App。

      添加新应用程序

      

   3. 选择 Forthing Else。

      创建新应用程序 ID

      

   4. 填写所有必填字段。
   5. 点 Create App。Facebook 然后将您带到仪表板。

   6. 在导航面板中，选择 Settings - Basic。

      添加平台

      

   7. 选择 + Add Platform。
   8. 单击 [Website]。

   9. 输入您站点的 URL。

      添加产品

      

   10. 从菜单中选择 Dashboard。
   11. 在 Instagram 框中点 Set Up。
   12. 从菜单中选择 Instagram - Basic Display。

   13. 点 Create New App。

       创建新的 Instagram 应用 ID

       

   14. 在 Display Name 中输入值。

       设置应用程序

       

   15. 将来自 Red Hat Single Sign-On 的 Redirect URL 粘贴到 Valid OAuth Redirect URIs 字段中。
   16. 将来自 Red Hat Single Sign-On 的 Redirect URL 粘贴到 Deauthorize Callback URL 字段中。
   17. 将来自 Red Hat Single Sign-On 的 Redirect URL 粘贴到 Data Deletion Request URL 字段中。
   18. 在 Instagram App Secret 字段中，单击 Show。
   19. 请注意 Instagram App ID 和 Instagram App Secret。
   20. 点 App Review - Requests。
   21. 按照屏幕上的说明进行操作。
5. 在 Red Hat Single Sign-On 中，将 Instagram App ID 的值粘贴到 Client ID 字段中。
6. 在 Red Hat Single Sign-On 中，将 Instagram App Secret 的值粘贴到 Client Secret 字段中。
7. 点 Save。