Управление Клиентами#
Клиенты - это сущности, которые могут запросить аутентификацию пользователя. Клиенты бывают двух типов. Первый тип клиентов - это приложения, которые хотят участвовать в единой регистрации. Эти клиенты просто хотят, чтобы KeyCloak.SE обеспечил безопасность для них. Другой тип клиентов - это клиенты, которые запрашивают токен доступа, чтобы иметь возможность вызывать другие службы от имени аутентифицированного пользователя.
Управление клиентом#
Настройки#
На рисунке ниже изображен интерфейс настройки клиента.
В таблице представлено детальное описание интерфейса настройки клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
ID клиента |
Задает идентификатор, указываемый в URI и в токенах. Например 'my-client'. Для SAML это также ожидаемое имя издателя для запросов аутентификации |
Текстовое значение |
Имя |
Задает отображаемое название клиента. Например 'My Client'. Поддерживает ключи для локализованных значений. Например: ${my_client} |
Текстовое значение |
Описание |
Задает описание клиента. Например 'Мой клиент для табеля учета времени'. Поддерживает ключи для локализованных значений. Например: ${my_client_description} |
Текстовое значение |
Включено |
Отключенные клиенты не могут инициировать вход или иметь возможность получить токены доступа |
Булевая |
Необходимо согласие |
Если включено, пользователи должны дать согласие на доступ клиентскому приложению |
Булевая |
Отображение согласия на экране клиента |
Применяется только в том случае, если параметр "Необходимо согласие" включен. Если этот переключатель выключен, экран согласия будет содержать только согласия, соответствующие настроенным областям клиента. Если переключатель включен, то на экране согласия будет также один пункт о самом клиенте |
Булевая |
Тема страницы входа |
Применяется, если для данного клиента включена опция "Отображать клиента на экране согласия". Содержит текст, который будет отображаться на экране согласия о разрешениях, относящихся только к этому клиенту |
Текстовое значение |
Тема страницы входа |
Выберите тему для страниц входа, временного одноразового пароля (OTP), выдачи разрешений, регистрации и восстановления пароля |
Выпадающий список |
Протокол клиента |
'OpenID connect' разрешает клиентам проверить личность конечного пользователя, основанного на выполнении аутентификации на Сервере Авторизации.'SAML' включает веб-сценарии аутентификации и авторизации, включая кроссдоменные центры единого управления доступом (SSO) и использующие токены безопасности, содержащие заявления на передачу информации |
Выпадающий список |
Тип доступа |
'Confidential' клиенты требуют секрет для инициализации протокола входа. 'Public' клиентам секрет не требуется. 'Bearer-only' клиенты и веб-сервисы никогда не инициализируют вход |
Выпадающий список |
Standard Flow включен |
Включает стандартное OpenID Connect перенаправление, основанное на аутентификации с кодом авторизации. В терминах OpenID Connect или OAuth2 спецификаций включает 'Authorization Code Flow' для этого клиента |
Булевая |
Implicit Flow включен |
Включает поддержку OpenID Connect перенаправления, основанного на аутентификации без кода авторизации. В терминах OpenID Connect или OAuth2 спецификаций включает поддержку 'Implicit Flow' для этого клиента |
Булевая |
Direct Access Grants включен |
Включает поддержку Direct Access Grants, которая означает, что клиент имеет доступ к имени пользователя и пароля и обменивает их напрямую с сервером Keycloak на токен доступа. В терминах OAuth2 спецификации означает поддержку 'Resource Owner Password Credentials Grant' для этого клиента. |
Булевая |
Корневой URL |
Корневой URL добавляется к относительным URL |
Текстовое значение |
Валидация URI перенаправления |
Валидирует паттерн URI, на который может быть перенаправлен браузер после успешного входа или выхода. Разрешены простые ссылки, напр. 'http://example.com/'. Также допускается использовать относительный путь, напр. '/my/relative/path/'. Относительные пути необходимо указывать относительно корневого URL клиента, или, если он не специфицирован, корневого URL сервера авторизации. Для SAML необходимо задать валидный паттерн URI, если полагаться на URL сервиса потребителя, внедренного в запрос авторизации. |
Текстовое значение |
Базовый URL |
Используемый URL по умолчанию. Используется в случае, если серверу требуется перенаправление или обратная ссылка на клиента. |
Текстовое значение |
URL администрирования приложения |
URL для доступа к интерфейсу администратора в заданном клиенте. Необходимо установить, если клиент поддерживает адаптер REST API. Это REST API разрешает серверу авторизации слать политики отзыва и прочие административные задачи. Обычно устанавливается значение, соответствующее базовому URL клиента. |
Текстовое значение |
Web источники |
Разрешает CORS источникам. Чтобы разрешить всем источники с допустимыми URI-адресами переадресации, добавьте '+'. Чтобы разрешить все источники, добавьте '*'. |
Текстовое значение |
Тонкая настройка конфигурации OpenID Connect#
На рисунке ниже изображен интерфейс тонкой настройки конфигурации OpenID Connect.
В таблице представлено детальное описание настройки конфигурации OpenID Connect.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Алгоритм подписи access-токена |
JWA-алгоритм, используемый для подписи access-токена |
Выпадающий список |
Алгоритм подписи id-токена |
JWA-алгоритм, используемый для подписи id-токена |
Выпадающий список |
Алгоритм подписи ответа информации о пользователе |
JWA алгоритм используется для подписи ответа ресурса информации о пользователе. Если установлено в 'unsigned', то ответ информации о пользователе не будет подписан и будет возвращен в формате application/json. |
Выпадающий список |
Алгоритм сигнатуры объекта запроса |
JWA алгоритм, который необходим клиенту для использования во время отсылки OIDC запроса объекта, специфицированного по 'request' или 'request_uri' параметрам. Если установлено в 'any', то объект запроса будет подписан любым алгоритмом (включая 'none'). |
Выпадающий список |
Предоставлять объект запроса |
Указывает, нужно ли клиенту предоставить объект запроса с запросом на авторизацию, и какой метод он может использовать для этого. Если установлено значение «не требуется», предоставление объекта запроса необязательно. Во всех остальных случаях предоставление объекта запроса обязательно. Если установлено значение «запрос», объект запроса должен быть предоставлен по значению. Если установлено значение «request_uri», объект запроса должен быть предоставлен по ссылке. Если установлено значение «request или request_uri», можно использовать любой метод. |
Выпадающий список |
Режимы совместимости OpenID Connect#
На рисунке ниже изображен интерфейс настройки режима совместимости OpenID Connect.
В таблице представлено детальное описание интерфейса настройки режима совместимости OpenID Connect.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Исключить параметр session_state из ответа аутентификации |
Если включено, параметр 'session_state' не будет включен в OpenID Connect Authentication ответ. |
Булевая |
Это полезно если клиент использует старый OIDC / OAuth2 адаптер, который не поддерживает параметр 'session_state'. |
Расширенные настройки#
На рисунке ниже изображен интерфейс расширенных настроек клиента.
В таблице представлено детальное описание интерфейса расширенных настроек клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Продолжительность жизни токена доступа |
Максимальное время действия токена доступа. Значение рекомендуется устанавливать как можно ближе к тайм-ауту SSO. |
Цифровое значение + выпадающий список |
Включить OAuth 2.0 Mutual TLS Certificate Bound Access Tokens |
Включает поддержку access-токенов с привязкой к сертификату OAuth 2.0 Mutual TLS, что означает, что keycloak связывает access-токен и refresh-токен с сертификатом X.509 клиента, запрашивающего токен, который обменивается mutual TLS между конечной точкой токена keycloak и этим клиентом. Эти токены могут рассматриваться как токены держателя ключа, а не токены на предъявителя. |
Булевая |
Ключ подтверждения для CodeChallengeMethod обмена кодами |
Выберите, какой метод проверки кода для PKCE используется. Если не указано иное, keycloak не применяет PKCE к клиенту, если клиент не отправляет запрос авторизации с соответствующим запросом кода и методом обмена кода. |
Выпадающий список |
Переопределение потока аутентификации#
На рисунке ниже изображено окно настройки переопределения потока аутентификации.
В таблице представлено детальное описание интерфейса переопределения потока аутентификации.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Сценарий браузера |
Выберите сценарий, который необходимо использовать для аутентификации через браузер. |
Выпадающий список |
Сценарий Direct Grant Flow |
Выберите сценарий, который необходимо использовать для аутентификации direct grant. |
Выпадающий список |
Ключ подтверждения для CodeChallengeMethod обмена кодами |
Выберите, какой метод проверки кода для PKCE используется. Если не указано иное, keycloak не применяет PKCE к клиенту, если клиент не отправляет запрос авторизации с соответствующим запросом кода и методом обмена кода. |
Выпадающий список |
Роли#
Роли клиентов - это пространства имен, предназначенные для клиентов. Каждый клиент получает свое собственное пространство имен. Роли клиентов управляются на вкладке Роли для каждого клиента. Вы взаимодействуете с этим пользовательским интерфейсом так же, как и с ролями уровня realm.
Назначьте нужные клиентские роли для возможности использования конкретной части консоли администрирования.
В таблице представлен перечень клиентских ролей и их описание.
Наименование клиентской роли |
Описание роли |
|---|---|
add-users |
Позволяет создавать пользователей |
allow-sync-users |
запуск синхронизации УЗ с ОСА |
allow-map-roles |
Позволяет пользователям присваивать роли |
allow-sync-data |
Позволяет синхронизировать справочники с ОСА |
clear-cache |
Позволяет очищать кэш |
create-client |
Позволяет создавать клиентов |
delete-account |
Позволяет удалять УЗ |
delete-users |
Позволяет удалять пользователей |
impersonation |
Позволяет имперсонировать |
manage-account |
Позволяет управлять УЗ |
manage-account-links |
Позволяет управлять ссылками УЗ |
manage-authorization |
Позволяет управлять авторизацией |
manage-clients |
Позволяет управлять клиентами |
manage-consent |
Позволяет управлять согласиями |
manage-data-sync |
Позволяет управлять синхронизацией с ОСА |
manage-events |
Позволяет управлять событиями |
manage-identity-providers |
Позволяет управлять поставщиками идентификации |
manage-realm |
Позволяет управлять realm |
manage-realm-attributes |
Позволяет управлять атрибутами realm |
manage-users |
Позволяет управлять пользователями |
query-clients |
Позволяет настраивать параметры клиентов |
query-groups |
Позволяет настраивать параметры групп |
query-realms |
Позволяет настраивать параметры realms |
query-users |
Позволяет настраивать параметры пользователей |
read-token |
Дает доступ к чтению токенов |
view-applications |
Позволяет просматривать параметры приложений |
view-authorization |
Позволяет просматривать параметры авторизации |
view-clients |
Позволяет просматривать клиентов |
view-consent |
Позволяет просматривать согласия |
view-events |
Позволяет просматривать события |
view-groups |
Позволяет просматривать группы |
view-identity-providers |
Позволяет просматривать поставщиков идентификации |
view-profile |
Позволяет просматривать профили |
view-realm |
Позволяет просматривать realm |
view-realm-attributes |
Позволяет просматривать атрибуты realm |
view-users |
Позволяет просматривать пользователей |
Перечень ролей#
На рисунке ниже изображено окно со списком ролей клиента.
В таблице представлено детальное описание интерфейса с представлением ролей клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Добавить |
По нажатию открывает окно добавления роли клиента |
Кнопка |
Наименование роли |
Отображение наименования роли |
Текстовое значение |
Составная |
Признак составной роли |
Текстовое значение |
Описание |
Описание роли клиента |
Текстовое значение |
Действия |
Редактировать |
Кнопка/По нажатию открывает окно редактирования роли клиента |
Удалить |
По нажатию удаляет роль клиента |
Кнопка |
Добавление роли#
На рисунке ниже изображено окно добавления ролей клиента.
В таблице представлено детальное описание интерфейса добавления ролей клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Наименование роли |
Поле для ввода наименования роли клиента |
Текстовое значение |
Описание |
Поле для ввода описания роли клиента |
Текстовое значение |
Редактирование роли#
Детали роли#
Любая роль уровня realm или клиента может стать составной ролью. Составная роль - это роль, с которой связана одна или несколько дополнительных ролей. Когда составная роль сопоставляется пользователю, пользователь получает роли, связанные с составной ролью. Это наследование является рекурсивным, поэтому пользователи также наследуют любой состав композитов. Однако не рекомендуется злоупотреблять составными ролями.
На рисунке ниже изображено окно редактирования роли клиента.
В таблице представлено детальное описание интерфейса редактирования роли клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Наименование роли |
Отображение наименования роли |
Текстовое значение |
Описание |
Поле для ввода описания роли клиента |
Текстовое значение |
Составные роли |
Когда эта роль (не)ассоциирована с любой ролью пользователей, она (не)будет неявно ассоциирована. |
Кнопка |
Роли Realm |
||
Доступные роли |
Роли уровня Realm, ассоциированные с этой составной ролью. |
Поле с выбором значения |
Ассоциированные роли |
Роли уровня Realm, ассоциированные с составными ролями. |
Поле с выбором значения |
Добавить выбранное |
Кнопка для добавления выбранных ролей в ассоциированные роли |
Кнопка |
Удалить выбранное |
Кнопка для удаления ролей из ассоциированных ролей |
Кнопка |
Пользовательский интерфейс выбора роли отображается на странице, и можно связать роли уровня realm и уровня клиента с создаваемой составной ролью.
Пользователи с ролью#
На рисунке ниже изображено окно просмотра пользователей с ролью.
В таблице представлено детальное описание полей интерфейса просмотра пользователей с ролью.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Пользователи с ролью |
Перечисление пользователей с данной ролью |
Текстовое поле |
Атрибуты роли#
На рисунке ниже изображено окно просмотра атрибутов роли.
В таблице представлено детальное описание полей интерфейса просмотра атрибутов роли.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Ключ |
Поле для ввода ключа, определяющего атрибут настройки |
Текстовое поле |
Значение |
Поле для ввода значения, задающегося атрибуту настройки |
Текстовое поле |
Действие. Добавить |
Кнопка добавления связки ключ-значения |
Кнопка |
Шаблоны клиентов#
Настройка клиентских областей#
Разрешить настройку клиентских областей, связанных с этим клиентом.
На рисунке ниже изображен интерфейс настройки клиентских областей.
В таблице представлено детальное описание полей интерфейса настройки клиентских областей.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Области клиента по умолчанию |
Области клиента по умолчанию всегда применяются при выдаче токенов для этого клиента. Сопоставители протоколов и сопоставления областей ролей применяются всегда, независимо от значения используемого параметра области в запросе авторизации OIDC. |
Поле с выбором значения |
Доступные клиентские области |
Области действия клиента, которые еще не назначены как области по умолчанию или дополнительные области |
Поле с выбором значения |
Назначенные клиентские области по умолчанию |
Области действия клиента, которые будут использоваться в качестве областей действия по умолчанию при создании токенов для этого клиента. |
Поле с выбором значения |
Добавить выбранное |
Кнопка для добавления выбранных клиентских областей в назначенные клиентские области по умолчанию |
Кнопка |
Удалить выбранное |
Кнопка для удаления выбранных назначенных клиентских областей по умолчанию |
Кнопка |
Необязательные клиентские области |
Необязательные клиентские области действия применяются при выдаче токенов для этого клиента, на случай, когда они запрашиваются параметром области в запросе авторизации OIDC |
|
Доступные клиентские области |
Области действия клиента, которые еще не назначены как области по умолчанию или дополнительные области |
Поле с выбором значения |
Назначенные дополнительные клиентские области |
Области действия клиента, которые могут использоваться как дополнительные области при генерации токенов для этого клиента |
Поле с выбором значения |
Добавить выбранное |
Кнопка для добавления выбранных клиентских областей |
Кнопка |
Удалить выбранное |
Кнопка для удаления выбранных клиентских областей |
Кнопка |
Сопоставления шаблонов клиентов#
Разрешить видеть все сопоставления протоколов и сопоставления областей ролей, которые будут использоваться в токенах, выданных этому клиенту. Также разрешить создание примера access-токена на основе предоставленного параметра области.
На рисунке ниже изображен интерфейс представления и настройки сопоставления шаблонов клиентов.
В таблице представлено детальное описание полей интерфейса представления и настройки сопоставления шаблонов клиентов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Параметр области действия |
Если скопировать / вставить это значение параметра scope, то можно использовать его в начальном запросе аутентификации OpenID Connect, отправленном с этого клиентского адаптера. Области клиентов по умолчанию и выбранные дополнительные области клиентов будут использоваться при генерации токена, выпущенного для этого клиента. |
Текстовое поле |
Области действия клиента |
Разрешить выбор дополнительных клиентских областей, которые могут использоваться при генерации токена, выпущенного для этого клиента |
|
Доступные дополнительные клиентские области |
Содержит необязательные клиентские области, которые можно дополнительно использовать при выдаче токена доступа для этого клиента |
Поле с выбором значения |
Выбранные дополнительные клиентские области |
Выбранные дополнительные клиентские области, которые будут использоваться при выдаче токена доступа для этого клиента. Выше указано, какое значение параметра области действия OAuth необходимо использовать, если необходимо, чтобы эти дополнительные клиентские области применялись, когда исходный запрос аутентификации OpenID Connect будет отправлен с вашего клиентского адаптера. |
Поле с выбором значения |
Эффективные клиентские области |
Содержит все клиентские области по умолчанию и выбранные дополнительные области. Все сопоставители протоколов и сопоставления областей ролей всех этих клиентских областей будут использоваться при создании токена доступа, выданного для вашего клиента. |
Поле с выбором значения |
Пользователь |
При желании выберите пользователя, для которого будет создан пример токена доступа. Если не выбрать ни одного пользователя, то во время оценки пример токена доступа не будет сгенерирован. |
Выпадающий список |
Сопоставить |
Применение настроек. |
Кнопка |
Сопоставления#
Протокол сопоставлений#
Протокол сопоставлений, осуществляющих преобразование в токены и документы. Могут делать такие вещи как сопоставление пользовательских данных в заявки протокола, или просто преобразовать любой запрос, происходящий между клиентом и сервером аутентификации.
На рисунке ниже изображен интерфейс представления сопоставлений протоколов для клиента.
В таблице представлено детальное описание полей интерфейса представления сопоставлений протоколов для клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Поисковое поле |
Поле для поиска сопоставлений |
Поисковое поле |
Создать |
Кнопка для создания сопоставлений |
Кнопка |
Добавить встроенные |
Кнопка для добавления встроенных сопоставлений |
Кнопка |
Создать сопоставление протокола#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Протокол |
Наименование протокола |
Текстовое значение |
Имя |
Наименование сопоставления |
Текстовое значение |
Тип сопоставления |
Выпадающий список |
Claims parameter Token#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Claims parameter Token |
Утверждения, указанные параметром Claims, помещаются в токены. |
|
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
User Realm Role#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User Realm Role |
Сопоставление роли рилма пользователя с утверждением токена. |
|
Префикс ролей Realm |
Префикс для каждой роли Realm (опционально). |
Текстовое значение |
Несколько значений |
Отображается, если атрибут поддерживает несколько значений. Если включен, то список всех значений будет претендовать на этот атрибут. В противном случае выбираться будет только первое значение |
Булевая |
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
User Session Note#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User Session Note |
Сопоставление сессии пользователя с записью в claim token. |
|
Заметка сессии пользователя |
Наименование процедуры заметки сессии пользователя согласованным с UserSessionModel.note. |
Текстовое поле |
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое поле |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
includeInAccessTokenResponse |
includeInAccessTokenResponse.tooltip |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Users Address#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Users Address |
Сопоставляет атрибуты адреса пользователя (улица, населенный пункт, регион, почтовый индекс и страна) с утверждением OpenID Connect "адрес" |
|
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Имя пользовательского атрибута, обозначающего Улицу |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'street_address' внутри атрибута 'address' токена. По умолчанию 'street' |
Текстовое значение |
Имя пользовательского атрибута, обозначающего Местонахождение |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'locality' внутри атрибута 'address' токена. По умолчанию 'locality' |
Текстовое значение |
Имя пользовательского атрибута, обозначающего Регион |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'region' внутри атрибута 'address' токена. По умолчанию 'region' |
Текстовое значение |
Имя пользовательского атрибута, обозначающего Почтовый индекс |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'postal_code' внутри атрибута 'address' токена. По умолчанию 'postal_code' |
Текстовое значение |
Имя пользовательского атрибута, обозначающего Страну |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'country' внутри атрибута 'address' токена. По умолчанию 'country' |
Текстовое значение |
Имя пользовательского атрибута, обозначающего Форматированный адрес |
Имя пользовательского атрибута, которое будет использоваться для сопоставления атрибута 'formatted' внутри атрибута 'address' токена. По умолчанию 'formatted' |
Текстовое значение |
Role Name Mapper#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Role Name Mapper |
Сопоставляет назначенную роль с новым именем или позицией в токене |
|
Роль |
Имя роли, которое необходимо изменить. Нажмите кнопку "Выбрать роль", чтобы просмотреть роли, или просто введите ее в текстовое поле. Для ссылки на роль клиента используется синтаксис client name.роль клиента, т.е. мой client.my роль |
Текстовое значение |
Новое имя роли |
Новое имя роли. Новый формат имени соответствует тому, к какому токену доступа будет привязана роль. Таким образом, новое имя 'myapp.new name' сопоставит роль с этой позицией в маркере доступа. Новое имя "новое имя" сопоставит роль с ролями области в токене |
Текстовое значение |
Выберите роль |
Список ролей доступных для сопоставления |
Кнопка |
User Client Role#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User Client Role |
Map a user client role to a token claim. |
|
ID клиента |
ID клиента для сопоставления ролей |
Выпадающий список с поиском |
Префикс ролей клиента |
Префикс для каждой роли клиента (опционально). |
Текстовое значение |
Несколько значений |
Отображается, если атрибут поддерживает несколько значений. Если включен, то список всех значений будет претендовать на этот атрибут. В противном случае выбираться будет только первое значение |
Булевая |
Имя переменной в токене |
Название утверждения для вставки в токен. Это может быть полное имя, например 'address.street'. В этом случае будет создан вложенный объект json. Чтобы предотвратить вложенность и использовать точку буквально, экранируйте точку обратной косой чертой (\.). Можно использовать специальный токен ${client_id}, который будет заменен фактическим идентификатором клиента. Примером использования является 'resource_access.${client_id}.roles'. Это особенно полезно, если добавлять роли от всех клиентов (следовательно, переключатель 'ClientID' не установлен), и необходимо, чтобы роли клиентов каждого клиента хранились отдельно. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
User Property#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User Property |
Сопоставьте встроенное свойство пользователя (адрес электронной почты, имя, фамилия) с утверждением токена. |
|
Свойство |
Имя свойства метода в интерфейсе UserModel. Для примера, значение 'email' будет ссылкой на метод UserModel.getEmail(). |
Текстовое значение |
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Hardcoded Role#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Hardcoded Role |
Жестко закодируйте роль в access token |
|
Роль |
Роль, которую необходимо добавить к токену. Нажмите кнопку "Выбрать роль", чтобы просмотреть роли, или просто введите ее в текстовое поле. Для ссылки на роль клиента используется синтаксис client name.роль клиента, т.е. мой client.my роль |
Текстовое значение |
Выберите роль |
- |
Кнопка |
Hardcoded Claim#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Hardcoded claim |
Жестко закодируйте утверждение в токене. |
|
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое значение |
Claim value |
Значение утверждения, которое необходимо жестко закодировать. 'true' и 'false могут использоваться для логических значений. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
includeInAccessTokenResponse.tooltip |
Включить в токен доступа ответ. Всплывающая подсказка |
Булевая |
Pairwise subject identifier#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Pairwise subject identifier |
Вычисляет попарный идентификатор субъекта, используя salted хэш sha-256. Дополнительные сведения о попарных идентификаторах субъектов см. в спецификации OpenID Connect. |
|
Сектор идентификации URI |
Провайдеры, использующие пары вспомогательных значений и поддерживающие динамическую регистрацию клиентов ДОЛЖНЫ использовать sector_identified_uri параметр. Это обеспечивает способ для группы сайтов под общим административным контролем, чтобы иметь последовательные попарные значения независимо от индивидуальных доменных имен. Это также обеспечивает способ для клиентов для изменения redirect_uri доменов, не имеющих возможности перерегистрации всех своих пользователей. |
Текстовое значение |
Соль |
Соль, используемая для вычисления парного субъекта идентификатора. Если поле не заполнено, то соль будет сгенерирована. |
Текстовое значение |
User's full name#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User's full name |
Сопоставляет имя и фамилию пользователя с утверждением OpenID Connect 'name'. Формат <первый> + ' ' + <последний> |
|
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Allowed Web Origins#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Allowed Web Origins |
Добавляет все разрешенные веб-источники к утверждению "разрешенные источники" в токене |
Audience#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|
|---|---|---|---|
Audience |
Добавьте указанную аудиторию в поле аудитория (aud) токена |
||
Включить аудиенцию клиентов |
Идентификатор клиента указанной аудитории будет включен в поле audience (aud) токена. Если в токене есть существующие аудиенции, указанное значение будет просто добавлено к ним. Оно не отменяет существующие аудиенции. |
Выпадающий список |
|
Включить аудиенцию пользователей |
Используется только в том случае, если 'Included Client Audience' не заполнено. Указанное значение будет включено в поле audience (aud) токена. Если в токене есть существующие аудиенции, указанное значение будет просто добавлено к ним. Оно не отменяет существующие аудиенции. |
Текстовое значение |
|
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
|
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
User Attribute#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
User Attribute |
Сопоставьте пользовательский атрибут пользователя с утверждением токена. |
|
Атрибут пользователя |
Имя сохраненного атрибута пользователя, которое является именем атрибута, согласованным с UserModel.attribute. |
Текстовое значение |
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Несколько значений |
Отображается, если атрибут поддерживает несколько значений. Если включен, то список всех значений будет претендовать на этот атрибут. В противном случае выбираться будет только первое значение |
Булевая |
Агрегированные значения атрибутов |
Указывает, следует ли агрегировать значения атрибутов с атрибутами группы. При использовании протокола OpenID Connect необходимо включить многозначную опцию, чтобы получить все значения. Дублированные значения отбрасываются, и с помощью этой опции порядок значений не гарантируется. |
Булевая |
Group Membership#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Group Membership |
Сопоставление пользователя с членством в группах |
|
Имя переменной в токене |
Имя переменной при добавлении ее в токен. Может быть полное имя, например 'address.street'. В таком случае будет создан вложенный json объект. |
Текстовое значение |
Full group path |
Включает полный путь к группе т.е. /top/level 1/level 2, если выключено (false) просто укажет имя группы |
Булевая |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Audience Resolve#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Audience Resolve |
Добавляет все идентификаторы клиентов "разрешенных" клиентов в поле аудитории токена. Разрешенный клиент означает клиент, для которого пользователь имеет хотя бы одну роль клиента |
Добавить встроенное сопоставление протокола#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Имя |
Имя встроенного сопоставления |
Текстовое значение |
Категория |
Категория встроенного сопоставления |
Текстовое значение |
Тип |
Тип встроенного сопоставления |
Текстовое значение |
Добавить |
Добавить встроенное сопоставление |
Чекбокс |
Добавить выбранное |
Добавление выбранных сопоставлений |
Кнопка |
Extended User Property#
На рисунке ниже изображен интерфейс создания сопоставлений протоколов.
В таблице представлено детальное описание полей интерфейса создания сопоставлений протоколов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Extended User Property |
Передается отчество пользователя, если задано в профиле. |
|
Свойство |
Имя свойства метода в интерфейсе ExtendedUserModel. Для примера, значение 'middleName' будет ссылкой на метод ExtendedUserModel.getMiddleName(). |
Текстовое значение |
Имя переменной в токене |
Имя переменной при добавлении ее в токен. |
Текстовое значение |
Тип переменной JSON |
Тип переменной в JSON, который должен использоваться при добавлении ее в токен. Допустимые значения long, int, boolean, и String. |
Выпадающий список |
Добавить в токен ID |
Должно ли значение быть добавлено в токен ID? |
Булевая |
Добавить в токен доступа |
Должно ли значение быть добавлено в токен доступа? |
Булевая |
Добавить в информацию о пользователе |
Должно ли требование быть добавлено в информацию о пользователе? |
Булевая |
Область#
Сопоставления ролей ограничивают роли, объявленные в токене доступа. Когда клиент запрашивает аутентификацию пользователя, получаемый им токен доступа содержит только те сопоставления ролей, которые явно указаны для области действия клиента. В результате ограничиваются полномочия каждого отдельного токена доступа вместо того, чтобы предоставить клиенту доступ ко всем полномочиям пользователей.
По умолчанию каждый клиент получает все сопоставления ролей пользователя. Сопоставления ролей доступны на вкладке Область каждого клиента.
На рисунке ниже изображено окно cопоставления областей для клиента.
В таблице представлено детальное описание полей интерфейса сопоставления областей для клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Полный доступ к областям |
Отключает все ограничения |
Булевая |
Отзыв#
Возможность отозвать любые токены, выданные для клиента.
На рисунке ниже изображено окно отзыва токенов.
В таблице представлено детальное описание полей интерфейса отзыва токенов.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Не ранее чем |
Отозвать любые токены, выданные до указанной даты для этого клиента. |
Текстовое поле, недоступное к ручному заполнению |
Очистить |
Очищает поле "Не ранее чем" |
Кнопка |
Установить на сейчас |
Устанавливает в поле "Не ранее чем" значение текущей даты и времени |
Кнопка |
Разослать |
Если URL системы администрации сконфигурирован для этого клиента, то необходимо послать политики этому клиенту. |
Кнопка |
Сессии#
Просмотр сессий для этого клиента позволяет увидеть, какие пользователи активны и когда они вошли.
На рисунке ниже изображено окно просмотра активных сессий для клиента.
В таблице представлено детальное описание полей интерфейса просмотра активных сессий для клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Активные сессии |
Общее количество активных сессий пользователей для этого клиента. |
Поле, недоступное к ручному заполнению |
Офлайн доступ#
Просмотр оффлайн сессий для этого клиента позволяет увидеть, какие пользователи получали оффлайн токен и когда они его получили. Чтобы выбрать все токены для этого клиента, перейдите на вкладку отзыва и установите значение в текущее время.
На рисунке ниже изображено окно просмотра оффлайн сессий для клиента.
В таблице представлено детальное описание полей интерфейса просмотра оффлайн сессий для клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Офлайн токены |
Общее количество оффлайн токенов для этого клиента. |
Поле, недоступное к ручному заполнению |
Установка#
Вспомогательная утилита для генерации различных форматов конфигурации адаптера клиента, которые доступны для скачивания или копирования для конфигурации других клиентов.
На рисунке ниже изображена форма генерации различных форматов конфигурации адаптера клиента.
В таблице представлено детальное описание интерфейса генерации различных форматов конфигурации адаптера клиента.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Формат |
Выбор формата конфигурации адаптера клиента. |
Выпадающий список |
Скачать |
По нажатию загружает конфигурации адаптера клиента в указанном формате |
Кнопка |
Поле |
Конфигурации адаптера клиента |
Текстовое поле |