Jump To Close Expand all Collapse all Table of contents 服务器管理指南 使开源包含更多 1. 红帽单点登录功能和概念 Expand section "1. 红帽单点登录功能和概念" Collapse section "1. 红帽单点登录功能和概念" 1.1. 功能 1.2. 基本 Red Hat Single Sign-On 操作 1.3. 核心概念和术语 2. 创建第一个管理员 Expand section "2. 创建第一个管理员" Collapse section "2. 创建第一个管理员" 2.1. 在本地主机上创建帐户 2.2. 远程创建帐户 3. 配置域 Expand section "3. 配置域" Collapse section "3. 配置域" 3.1. 使用管理控制台 3.2. 主域 3.3. 创建域 3.4. 为域配置 SSL 3.5. 清除服务器缓存 3.6. 为域配置电子邮件 3.7. 配置它们和国际化 Expand section "3.7. 配置它们和国际化" Collapse section "3.7. 配置它们和国际化" 3.7.1. 启用国际化 3.7.2. 用户区域设置 3.8. 控制登录选项 Expand section "3.8. 控制登录选项" Collapse section "3.8. 控制登录选项" 3.8.1. 启用忘记密码 3.8.2. 启用 Remember Me 3.8.3. ACR 到身份验证级别(LoA)映射 Expand section "3.8.3. ACR 到身份验证级别(LoA)映射" Collapse section "3.8.3. ACR 到身份验证级别(LoA)映射" 3.8.3.1. 更新电子邮件工作流(更新电子邮件) 3.9. 配置域密钥 Expand section "3.9. 配置域密钥" Collapse section "3.9. 配置域密钥" 3.9.1. 轮转密钥 3.9.2. 添加生成的密钥对 3.9.3. 通过提取证书来轮转密钥 3.9.4. 添加现有的密钥对和证书 3.9.5. 从 Java 密钥存储加载密钥 3.9.6. 使键被动 3.9.7. 禁用密钥 3.9.8. 破坏的密钥 4. 使用外部存储 Expand section "4. 使用外部存储" Collapse section "4. 使用外部存储" 4.1. 添加供应商 4.2. 处理供应商失败 4.3. 轻量级目录访问协议(LDAP)和 Active Directory Expand section "4.3. 轻量级目录访问协议(LDAP)和 Active Directory" Collapse section "4.3. 轻量级目录访问协议(LDAP)和 Active Directory" 4.3.1. 配置联合 LDAP 存储 4.3.2. 存储模式 4.3.3. 编辑模式 4.3.4. 其他配置选项 4.3.5. 通过 SSL 连接到 LDAP 4.3.6. 将 LDAP 用户同步到红帽单点登录 4.3.7. LDAP 映射器 4.3.8. 密码散列 4.3.9. 故障排除 4.4. SSSD 和 FreeIPA 身份管理集成 Expand section "4.4. SSSD 和 FreeIPA 身份管理集成" Collapse section "4.4. SSSD 和 FreeIPA 身份管理集成" 4.4.1. FreeIPA/IdM 服务器 4.4.2. SSSD 和 D-Bus 4.4.3. 启用 SSSD 联合供应商 4.5. 配置联合 SSSD 存储 4.6. 自定义供应商 5. 管理用户 Expand section "5. 管理用户" Collapse section "5. 管理用户" 5.1. 创建用户 5.2. 定义用户凭证 Expand section "5.2. 定义用户凭证" Collapse section "5.2. 定义用户凭证" 5.2.1. 为用户设置密码 5.2.2. 创建 OTP 5.3. 配置用户属性 5.4. 允许用户自助注册 Expand section "5.4. 允许用户自助注册" Collapse section "5.4. 允许用户自助注册" 5.4.1. 启用用户注册 5.4.2. 作为新用户注册 5.5. 定义登录时所需的操作 Expand section "5.5. 定义登录时所需的操作" Collapse section "5.5. 定义登录时所需的操作" 5.5.1. 为一个用户设置所需操作 5.5.2. 为所有用户设置所需操作 5.5.3. 作为所需操作启用条款和条件 5.6. 搜索用户 5.7. 删除用户 5.8. 启用用户删除帐户 Expand section "5.8. 启用用户删除帐户" Collapse section "5.8. 启用用户删除帐户" 5.8.1. 启用删除帐户功能 5.8.2. 授予用户 delete-account 角色 5.8.3. 删除您的帐户 5.9. 模拟用户 5.10. 启用 reCAPTCHA 5.11. 定义用户配置集 Expand section "5.11. 定义用户配置集" Collapse section "5.11. 定义用户配置集" 5.11.1. 启用用户配置集 5.11.2. 管理用户配置集 5.11.3. 管理属性 Expand section "5.11.3. 管理属性" Collapse section "5.11.3. 管理属性" 5.11.3.1. 管理权限 5.11.3.2. 管理验证 Expand section "5.11.3.2. 管理验证" Collapse section "5.11.3.2. 管理验证" 5.11.3.2.1. 管理注解 5.11.4. 管理属性组 5.11.5. 使用 JSON 配置 Expand section "5.11.5. 使用 JSON 配置" Collapse section "5.11.5. 使用 JSON 配置" 5.11.5.1. 所需的属性 5.11.5.2. 权限属性 5.11.5.3. annotations 属性 5.11.6. 使用动态表单 Expand section "5.11.6. 使用动态表单" Collapse section "5.11.6. 使用动态表单" 5.11.6.1. 排序属性 5.11.6.2. 分组属性 5.11.6.3. 为属性配置表单输入文件 Expand section "5.11.6.3. 为属性配置表单输入文件" Collapse section "5.11.6.3. 为属性配置表单输入文件" 5.11.6.3.1. 定义选择和多选字段的选项 5.11.7. 强制用户配置文件合规性 5.11.8. 迁移到用户配置集 5.12. Red Hat Single Sign-On 收集的个人数据 6. 管理用户会话 Expand section "6. 管理用户会话" Collapse section "6. 管理用户会话" 6.1. 管理会话 Expand section "6.1. 管理会话" Collapse section "6.1. 管理会话" 6.1.1. Logout all Operation 6.1.2. 应用程序导航 6.1.3. 用户导航 6.2. 撤销策略 6.3. 会话和令牌超时 6.4. 离线访问 6.5. 离线会话预加载 6.6. 临时会话 7. 使用角色和组群分配权限 Expand section "7. 使用角色和组群分配权限" Collapse section "7. 使用角色和组群分配权限" 7.1. 创建域角色 7.2. 客户端角色 7.3. 将角色转换为复合角色 7.4. 分配角色映射 7.5. 使用默认角色 7.6. 角色范围映射 7.7. 组 Expand section "7.7. 组" Collapse section "7.7. 组" 7.7.1. 与角色相比的组 7.7.2. 使用默认组 8. 配置身份验证 Expand section "8. 配置身份验证" Collapse section "8. 配置身份验证" 8.1. 密码策略 Expand section "8.1. 密码策略" Collapse section "8.1. 密码策略" 8.1.1. 密码策略类型 Expand section "8.1.1. 密码策略类型" Collapse section "8.1.1. 密码策略类型" 8.1.1.1. 哈希算法 8.1.1.2. 哈希迭代 8.1.1.3. 数字 8.1.1.4. 小写字符 8.1.1.5. 大写字符 8.1.1.6. 特殊字符 8.1.1.7. Not username 8.1.1.8. 未通过电子邮件 8.1.1.9. 正则表达式 8.1.1.10. 过期密码 8.1.1.11. 最近使用 8.1.1.12. 密码黑名单 8.2. 一个时间密码(OTP)策略 Expand section "8.2. 一个时间密码(OTP)策略" Collapse section "8.2. 一个时间密码(OTP)策略" 8.2.1. 基于时间或基于计数器的一次性密码 8.2.2. TOTP 配置选项 Expand section "8.2.2. TOTP 配置选项" Collapse section "8.2.2. TOTP 配置选项" 8.2.2.1. OTP 哈希算法 8.2.2.2. 数字数 8.2.2.3. 查看窗口 8.2.2.4. OTP 令牌周期 8.2.3. HOTP 配置选项 Expand section "8.2.3. HOTP 配置选项" Collapse section "8.2.3. HOTP 配置选项" 8.2.3.1. OTP 哈希算法 8.2.3.2. 数字数 8.2.3.3. 查看窗口 8.2.3.4. 初始计数器 8.3. 身份验证流程 Expand section "8.3. 身份验证流程" Collapse section "8.3. 身份验证流程" 8.3.1. 内置流 Expand section "8.3.1. 内置流" Collapse section "8.3.1. 内置流" 8.3.1.1. auth 类型 8.3.1.2. 要求 Expand section "8.3.1.2. 要求" Collapse section "8.3.1.2. 要求" 8.3.1.2.1. 必需 8.3.1.2.2. 替代方案 8.3.1.2.3. Disabled 8.3.1.2.4. 条件 8.3.2. 创建流 8.3.3. 创建无密码浏览器登录流程 8.3.4. 使用步骤机制创建浏览器登录流程 8.3.5. 配置用户会话限制 8.4. Kerberos Expand section "8.4. Kerberos" Collapse section "8.4. Kerberos" 8.4.1. Kerberos 服务器设置 8.4.2. 设置和配置 Red Hat Single Sign-On 服务器 Expand section "8.4.2. 设置和配置 Red Hat Single Sign-On 服务器" Collapse section "8.4.2. 设置和配置 Red Hat Single Sign-On 服务器" 8.4.2.1. 启用 SPNEGO 处理 8.4.2.2. 配置 Kerberos 用户存储联合 providerx 8.4.3. 设置和配置客户端机器 8.4.4. 凭证委托 8.4.5. 跨域信任 8.4.6. 故障排除 8.5. X.509 客户端证书用户身份验证 Expand section "8.5. X.509 客户端证书用户身份验证" Collapse section "8.5. X.509 客户端证书用户身份验证" 8.5.1. 功能 Expand section "8.5.1. 功能" Collapse section "8.5.1. 功能" 8.5.1.1. 正则表达式 Expand section "8.5.1.1. 正则表达式" Collapse section "8.5.1.1. 正则表达式" 8.5.1.1.1. 将证书身份映射到现有用户 8.5.1.1.2. 扩展证书验证 8.5.2. 启用 X.509 客户端证书用户身份验证 Expand section "8.5.2. 启用 X.509 客户端证书用户身份验证" Collapse section "8.5.2. 启用 X.509 客户端证书用户身份验证" 8.5.2.1. 在 JBoss EAP 中启用 mutual SSL 8.5.2.2. 启用 HTTPS 侦听器 8.5.3. 在浏览器流中添加 X.509 客户端证书验证 8.5.4. 配置 X.509 客户端证书验证 8.5.5. 在直接授予流中添加 X.509 客户端证书验证 8.5.6. 客户端证书查找 Expand section "8.5.6. 客户端证书查找" Collapse section "8.5.6. 客户端证书查找" 8.5.6.1. HAProxy 证书查找供应商 8.5.6.2. Apache 证书查找供应商 8.5.6.3. NGINX 证书查找供应商 8.5.6.4. 其他反向代理实现 8.5.7. 故障排除 8.6. W3C Web 身份验证(WebAuthn) Expand section "8.6. W3C Web 身份验证(WebAuthn)" Collapse section "8.6. W3C Web 身份验证(WebAuthn)" 8.6.1. 设置 Expand section "8.6.1. 设置" Collapse section "8.6.1. 设置" 8.6.1.1. 启用 WebAuthn authenticator 注册 8.6.1.2. 将 WebAuthn 身份验证添加到浏览器流 8.6.2. 使用 WebAuthn authenticator 进行身份验证 8.6.3. 以管理员身份管理 WebAuthn Expand section "8.6.3. 以管理员身份管理 WebAuthn" Collapse section "8.6.3. 以管理员身份管理 WebAuthn" 8.6.3.1. 管理凭证 8.6.3.2. 管理策略 8.6.4. attestation 语句验证 8.6.5. 以用户身份管理 WebAuthn 凭证 Expand section "8.6.5. 以用户身份管理 WebAuthn 凭证" Collapse section "8.6.5. 以用户身份管理 WebAuthn 凭证" 8.6.5.1. 注册 WebAuthn authenticator 8.6.5.2. 新用户 8.6.5.3. 现有用户 8.6.6. 免密码 WebAuthn 与两个因素一起 Expand section "8.6.6. 免密码 WebAuthn 与两个因素一起" Collapse section "8.6.6. 免密码 WebAuthn 与两个因素一起" 8.6.6.1. 设置 8.6.7. LoginLess WebAuthn Expand section "8.6.7. LoginLess WebAuthn" Collapse section "8.6.7. LoginLess WebAuthn" 8.6.7.1. 设置 8.6.7.2. 特定于厂商的 remarks Expand section "8.6.7.2. 特定于厂商的 remarks" Collapse section "8.6.7.2. 特定于厂商的 remarks" 8.6.7.2.1. 兼容性检查列表 8.6.7.2.2. Windows Hello 8.6.7.2.3. 支持的安全密钥 8.7. 恢复代码(恢复代码) 8.8. 条件流中的条件 Expand section "8.8. 条件流中的条件" Collapse section "8.8. 条件流中的条件" 8.8.1. 可用条件 8.8.2. 在条件流中明确拒绝/允许访问 9. 集成身份提供程序 Expand section "9. 集成身份提供程序" Collapse section "9. 集成身份提供程序" 9.1. Brokering 概述 9.2. 默认身份提供程序 9.3. 常规配置 9.4. 社交身份提供程序 Expand section "9.4. 社交身份提供程序" Collapse section "9.4. 社交身份提供程序" 9.4.1. Bitbucket 9.4.2. Facebook 9.4.3. GitHub 9.4.4. GitLab 9.4.5. Google 9.4.6. LinkedIn 9.4.7. Microsoft 9.4.8. OpenShift 3 9.4.9. OpenShift 4 9.4.10. PayPal 9.4.11. 堆栈溢出 9.4.12. Twitter 9.4.13. Instagram 9.5. OpenID Connect v1.0 身份提供程序 9.6. SAML v2.0 身份提供程序 Expand section "9.6. SAML v2.0 身份提供程序" Collapse section "9.6. SAML v2.0 身份提供程序" 9.6.1. 请求特定的 AuthnContexts 9.6.2. SP Descriptor 9.6.3. 在 SAML 请求中发送主题 9.7. 客户端讨论的身份提供程序 9.8. 映射声明和断言 9.9. 可用用户会话数据 9.10. 第一登录流程 Expand section "9.10. 第一登录流程" Collapse section "9.10. 第一登录流程" 9.10.1. 默认首次登录流身份验证 9.10.2. 自动链接现有的第一个登录流 9.10.3. 禁用自动用户创建 9.10.4. 检测现有的用户首次登录流 9.11. 检索外部 IDP 令牌 9.12. Identity broker logout 10. SSO 协议 Expand section "10. SSO 协议" Collapse section "10. SSO 协议" 10.1. OpenID Connect Expand section "10.1. OpenID Connect" Collapse section "10.1. OpenID Connect" 10.1.1. OIDC 身份验证流 Expand section "10.1.1. OIDC 身份验证流" Collapse section "10.1.1. OIDC 身份验证流" 10.1.1.1. 授权代码流 10.1.1.2. 隐式流 10.1.1.3. 资源所有者密码凭证授予(Direct Access Grants) 10.1.1.4. 客户端凭证授权 10.1.1.5. 设备授权 10.1.1.6. 发起的后向通道身份验证授权的客户端 Expand section "10.1.1.6. 发起的后向通道身份验证授权的客户端" Collapse section "10.1.1.6. 发起的后向通道身份验证授权的客户端" 10.1.1.6.1. CIBA 策略 10.1.1.6.2. 供应商设置 10.1.1.6.3. 身份验证频道供应商 10.1.1.6.4. 用户解析器供应商 10.1.2. OIDC Logout Expand section "10.1.2. OIDC Logout" Collapse section "10.1.2. OIDC Logout" 10.1.2.1. 会话管理 10.1.2.2. RP-Initiated Logout 10.1.2.3. Frontchannel Logout 10.1.2.4. Backchannel Logout 10.1.3. Red Hat Single Sign-On 服务器 OIDC URI 端点 10.2. SAML Expand section "10.2. SAML" Collapse section "10.2. SAML" 10.2.1. SAML 绑定 Expand section "10.2.1. SAML 绑定" Collapse section "10.2.1. SAML 绑定" 10.2.1.1. 重定向绑定 10.2.1.2. POST 绑定 10.2.1.3. ECP 10.2.2. Red Hat Single Sign-On Server SAML URI Endpoints 10.3. 与 SAML 相比 OpenID Connect 10.4. Docker registry v2 身份验证 Expand section "10.4. Docker registry v2 身份验证" Collapse section "10.4. Docker registry v2 身份验证" 10.4.1. Docker 身份验证流程 10.4.2. Red Hat Single Sign-On Docker Registry v2 Authentication Server URI 端点 11. 控制对管理控制台的访问 Expand section "11. 控制对管理控制台的访问" Collapse section "11. 控制对管理控制台的访问" 11.1. Master realm 访问控制 Expand section "11.1. Master realm 访问控制" Collapse section "11.1. Master realm 访问控制" 11.1.1. 全局角色 11.1.2. realm 特定角色 11.2. 专用域管理控制台 11.3. 精细的管理权限 Expand section "11.3. 精细的管理权限" Collapse section "11.3. 精细的管理权限" 11.3.1. 管理一个特定客户端 Expand section "11.3.1. 管理一个特定客户端" Collapse section "11.3.1. 管理一个特定客户端" 11.3.1.1. 权限设置 11.3.1.2. 测试它 11.3.2. 限制用户角色映射 Expand section "11.3.2. 限制用户角色映射" Collapse section "11.3.2. 限制用户角色映射" 11.3.2.1. 测试它 11.3.2.2. 每个客户端映射 -roles 快捷方式 11.3.3. 权限完整列表 Expand section "11.3.3. 权限完整列表" Collapse section "11.3.3. 权限完整列表" 11.3.3.1. 角色 11.3.3.2. 客户端 11.3.3.3. 用户 11.3.3.4. 组 12. 管理 OpenID Connect 和 SAML 客户端 Expand section "12. 管理 OpenID Connect 和 SAML 客户端" Collapse section "12. 管理 OpenID Connect 和 SAML 客户端" 12.1. OIDC 客户端 Expand section "12.1. OIDC 客户端" Collapse section "12.1. OIDC 客户端" 12.1.1. 创建 OpenID Connect 客户端 12.1.2. 基本设置 12.1.3. 高级设置 12.1.4. 机密客户端凭证 12.1.5. 客户端机密轮转 Expand section "12.1.5. 客户端机密轮转" Collapse section "12.1.5. 客户端机密轮转" 12.1.5.1. 客户端 secret 轮转规则 12.1.6. 创建 OIDC 客户端 Secret Rotation 策略 12.1.7. 使用服务帐户 12.1.8. 受众支持 Expand section "12.1.8. 受众支持" Collapse section "12.1.8. 受众支持" 12.1.8.1. 设置 12.1.8.2. 自动添加受众 12.1.8.3. 硬编码的受众 12.2. 创建 SAML 客户端 Expand section "12.2. 创建 SAML 客户端" Collapse section "12.2. 创建 SAML 客户端" 12.2.1. IDP Initiated 登录 12.2.2. 使用实体描述符创建客户端 12.3. 客户端链接 12.4. OIDC 令牌和 SAML 断言映射 Expand section "12.4. OIDC 令牌和 SAML 断言映射" Collapse section "12.4. OIDC 令牌和 SAML 断言映射" 12.4.1. 优先级顺序 12.4.2. OIDC 用户会话备注映射程序 12.4.3. script mapper 12.5. 生成客户端适配器配置 12.6. 客户端范围 Expand section "12.6. 客户端范围" Collapse section "12.6. 客户端范围" 12.6.1. 协议 12.6.2. 同意相关设置 12.6.3. 使用客户端链接客户端范围 Expand section "12.6.3. 使用客户端链接客户端范围" Collapse section "12.6.3. 使用客户端链接客户端范围" 12.6.3.1. Example 12.6.4. 评估客户端范围 12.6.5. 客户端范围权限 12.6.6. realm 默认客户端范围 12.6.7. 范围解释 12.7. 客户端策略 Expand section "12.7. 客户端策略" Collapse section "12.7. 客户端策略" 12.7.1. 使用案例 12.7.2. 协议 12.7.3. 架构 Expand section "12.7.3. 架构" Collapse section "12.7.3. 架构" 12.7.3.1. 状况 12.7.3.2. executor 12.7.3.3. profile 12.7.3.4. 策略 12.7.4. Configuration 12.7.5. 向后兼容性 12.7.6. 客户端 Secret 轮转示例 13. 使用 vault 获取 secret Expand section "13. 使用 vault 获取 secret" Collapse section "13. 使用 vault 获取 secret" 13.1. Kubernetes/ OpenShift 文件纯文本 vault 供应商 13.2. Elytron 凭证存储 vault 供应商 13.3. 密钥解析器 13.4. 配置示例 Expand section "13.4. 配置示例" Collapse section "13.4. 配置示例" 13.4.1. 在没有掩码的情况下配置凭证存储和库 13.4.2. 屏蔽凭据存储和 vault 中的密码 14. 配置审核以跟踪事件 Expand section "14. 配置审核以跟踪事件" Collapse section "14. 配置审核以跟踪事件" 14.1. 登录事件 Expand section "14.1. 登录事件" Collapse section "14.1. 登录事件" 14.1.1. 事件类型 14.1.2. 事件监听程序 Expand section "14.1.2. 事件监听程序" Collapse section "14.1.2. 事件监听程序" 14.1.2.1. 日志记录事件监听程序 14.1.2.2. 电子邮件事件 Listener 14.2. 管理员事件 15. 导入和导出数据库 Expand section "15. 导入和导出数据库" Collapse section "15. 导入和导出数据库" 15.1. 管理控制台导出/导入 16. 缓解安全威胁 Expand section "16. 缓解安全威胁" Collapse section "16. 缓解安全威胁" 16.1. 主机 16.2. 管理端点和管理控制台 Expand section "16.2. 管理端点和管理控制台" Collapse section "16.2. 管理端点和管理控制台" 16.2.1. IP 限制 16.2.2. 端口限制 16.3. 暴力攻击 Expand section "16.3. 暴力攻击" Collapse section "16.3. 暴力攻击" 16.3.1. 密码策略 16.4. 只读用户属性 16.5. 点jacking 16.6. SSL/HTTPS 要求 16.7. CSRF 攻击 16.8. Unspecific redirect URI 16.9. FAPI 合规性 16.10. 入侵访问并刷新令牌 16.11. 被破坏的授权代码 16.12. Open redirectors 16.13. 密码数据库已被破坏 16.14. 限制范围 16.15. 限制令牌对象 16.16. 限制身份验证会话 16.17. SQL 注入攻击 17. 帐户控制台 Expand section "17. 帐户控制台" Collapse section "17. 帐户控制台" 17.1. 访问帐户控制台 17.2. 配置登录方法 Expand section "17.2. 配置登录方法" Collapse section "17.2. 配置登录方法" 17.2.1. 使用 OTP 进行双因素身份验证 17.2.2. 使用 WebAuthn 的双因素身份验证 17.2.3. 使用 WebAuthn 进行免密码身份验证 17.3. 查看设备活动 17.4. 添加身份提供程序帐户 17.5. 访问其他应用程序 18. Admin CLI Expand section "18. Admin CLI" Collapse section "18. Admin CLI" 18.1. 安装管理 CLI 18.2. 使用 Admin CLI 18.3. 身份验证 18.4. 使用其他配置 18.5. 基本操作和资源 URI 18.6. realm 操作 18.7. 角色操作 18.8. 客户端操作 18.9. 用户操作 18.10. 组操作 18.11. 身份提供程序操作 18.12. 存储供应商操作 18.13. 添加映射程序 18.14. 身份验证操作 法律通告 Settings Close Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page 服务器管理指南 Red Hat Single Sign-On 7.6用于 Red Hat Single Sign-On 7.6Red Hat Customer Content Services法律通告摘要 本指南由管理员配置 Red Hat Single Sign-On 7.6 的信息 Next