Управление Федерацией пользователей#
Чтобы начать работу, выберите провайдера из выпадающего списка.
Ниже изображено окно добавления провайдера федерации пользователей.
kerberos#
Требуемые настройки:
Настройки кэширования EVICT_DAILY:
Настройки кэширования EVICT_WEEKLY:
Настройки кэширования MAX_LIFESPAN:
Настройки кэширования NO_CACHE:
В таблице представлено детальное описание интерфейса настройки службы хранилища пользователей.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Включено |
Если поставщик отключен, он не будет учитываться для запросов, а импортированные пользователи будут отключены и доступны только для чтения до тех пор, пока поставщик снова не будет включен. |
Булевая |
Наименование в консоли |
Отображаемое имя службы, связанное с консолью администратора. |
Текстовое значение |
Приоритет |
Приоритет службы при поиске пользователя. Вперед идут более низкие значения. |
Текстовое значение |
Kerberos Realm |
Наименование kerberos realm. Например FOO.ORG |
Текстовое значение |
Основной сервер |
Полное имя основного сервера для HTTP сервиса, включая серверное и доменное имя. Например HTTP/host.foo.org@FOO.ORG |
Текстовое значение |
KeyTab |
Местоположение файла KeyTab в Kerberos, содержащего учетные данные основного сервера. Например /etc/krb5.keytab |
Текстовое значение |
Отладчик |
Включить/выключить отладочные логи в стандартный вывод для Krb5LoginModule. |
Булевая |
Разрешить аутентификацию по паролю |
Включить/выключить возможность аутентификации по имени/пароля вопреки базе данных Kerberos |
Булевая |
Режим редактирования |
READ_ONLY означает, что обновление пароля не допускается и пользователь всегда аутентифицируется с паролем Kerberos. UNSYNCED означает, что пользователь может изменить свой пароль в базе данных Keycloak и тогда он будет использован вместо пароля Kerberos |
Список с возможностью выбора значений |
Обновить профиль при первом входе |
Обновить профиль при первом входе |
Булевая |
Политики кэширования |
Политики кэширования для этого поставщика хранения. 'DEFAULT' представляет настройки по умолчанию для глобального пользовательского кэша. 'EVICT_DAILY' время каждого дня, после которого пользовательский кэш инвалидируется. 'EVICT_WEEKLY' день и время недели после которого пользовательский кэш инвалидируется. 'MAX-LIFESPAN' время в миллисекундах, в течение которого будет существовать жизненный цикл записи в кэше. |
Список с возможностью выбора значений |
EVICT_DAILY |
||
Час исключения |
Час дня, в который запись станет недействительной. |
Выпадающий список |
Минута исключения |
Минута дня, в которую запись станет недействительной. |
Выпадающий список |
EVICT_WEEKLY |
||
День исключения |
День недели в который запись станет недействительной и будет исключена из кэша. |
Выпадающий список |
Час исключения |
Час дня, в который запись станет недействительной. |
Выпадающий список |
Минута исключения |
Минута дня, в которую запись станет недействительной. |
Выпадающий список |
MAX_LIFESPAN |
||
Максимальное время жизни |
Максимальное время жизни записи пользовательского кэша в секундах. |
Выпадающий список |
NO_CACHE |
ldap#
Требуемые настройки
Ниже изображен интерфейс обязательных настроек службы федерации пользователей.
В таблице представлено детальное описание интерфейса настройки службы федерации пользователей.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Включено |
Если поставщик отключен, он не будет учитываться для запросов, а импортированные пользователи будут отключены и доступны только для чтения до тех пор, пока поставщик снова не будет включен. |
Булевая |
Наименование в консоли |
Отображаемое имя службы, связанное с консолью администратора. |
Текстовое поле |
Приоритет |
Приоритет службы при поиске пользователя. Вперед идут более низкие значения. |
Текстовое поле |
Импортировать пользователей |
Если включено, пользователи LDAP будут импортированы в базу данных Keycloak и синхронизированы через сконфигурированные политики синхронизации. |
Булевая |
Режим редактирования |
READ_ONLY означает доступ только на чтение из LDAP. WRITABLE означает, что данные будут обратно синхронизированы в LDAP по заявке. UNSYNCED означает, что данные пользователя будут импортированы, но не синхронизированы обратно в LDAP. |
Выпадающий список |
Синхронизировать регистрации |
Должны ли вновь созданные пользователи быть созданы в хранилище LDAP? Приоритет определяет какой из поставщиков будет выбран для синхронизации нового пользователя. |
Булевая |
Поставщик |
LDAP поставщик (провайдер) |
Выпадающий список |
Атрибут Username в LDAP |
Наименование LDAP атрибута, которое отображается как имя пользователя в Keycloak. Для множества серверов LDAP это может быть 'uid'. Для Active directory это может быть 'sAMAccountName' или 'cn'. Атрибут должен быть заполнен для всех LDAP записей пользователей, которые необходимо импортировать из LDAP в Keycloak. |
Текстовое поле |
Атрибут RDN в LDAP |
Наименование атрибутов LDAP, которое используется как RDN (верхний атрибут) обычного пользователя DN. Обычно оно такое же, как атрибут имени пользователя LDAP, однако он не обязателен. Для примера, для Active directory обычно используется 'cn' как атрибут RDN, в то время как атрибут имени пользователя может быть 'sAMAccountName'. |
Текстовое поле |
Атрибут UUID в LDAP |
Наименование LDAP атрибута,которое используется как уникальный идентификатор объектов (UUID) в LDAP. Для множества LDAP серверов это 'entryUUID' однако некоторые могут отличаться. Для примера, для Active directory он должен быть 'objectGUID'. Если LDAP сервер действительно не поддерживает понятие UUID, есть возможность использовать любой другой атрибут, который должен быть уникальным среди пользователей в дереве LDAP. Например 'uid' или 'entryDN'. |
Текстовое поле |
Классы объектов пользователя |
Все значения из LDAP objectClass атрибутов для пользователей в LDAP, разделенные запятой. Например: 'inetOrgPerson, organizationalPerson' . Вновь созданные пользователи Keycloak будут записаны в LDAP вместе с этими классами объектов, а существующие записи пользователей LDAP будут найдены только если они содержат все эти классы объектов. |
Текстовое поле |
URL соединения |
URL соединения с сервером LDAP |
Текстовое поле |
Тест соединения |
Кнопка |
|
Пользователи DN |
Полный DN из дерева LDAP где присутствуют пользователи. Этот DN является родителем пользователей LDAP. Он может быть, для примера 'ou=users,dc=example,dc=com' при условии, что обычный пользователь будет иметь DN похожий на'uid=john,ou=users,dc=example,dc=com' |
Текстовое поле |
Пользовательский Фильтр LDAP пользователей |
||
Поиск области |
Для одного уровня мы ищем пользователей только в DN, определенных как пользовательские DN. Для поддеревьев мы ищем полностью в их поддеревьях. Смотрите документацию LDAP для подробных деталей |
Выпадающий список |
Тип аутентификации |
Тип LDAP аутентификации. Сейчас доступны только механизмы 'none' (анонимная аутентификация LDAP) или 'simple' (Аутентификация по сопоставленным логину и паролю) |
Выпадающий список |
Сопоставление DN |
DN администратора LDAP, которые будут использованы Keycloak для доступа на сервер LDAP |
Текстовое поле |
Сопоставление учетных данных |
Пароль администратора LDAP |
Текстовое поле |
Проверка аутентификации |
Кнопка |
Advanced Settings
Ниже изображен интерфейс расширенных настроек службы федерации пользователей.
В таблице представлено детальное описание расширенных настроек службы федерации пользователей.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Включить StartTLS |
Шифрует соединение с LDAP с помощью STARTTLS, что отключит пул соединений. |
Булевая |
Enable the LDAPv3 Password Modify Extended Operation |
Используйте расширенную операцию изменения пароля LDAPv3 (RFC-3062). Расширенная операция изменения пароля обычно требует, чтобы у пользователя LDAP уже был пароль на сервере LDAP. Поэтому, когда это используется с "Синхронизацией регистраций", может быть полезно добавить также "Жестко закодированный атрибут LDAP, сопоставленный" со случайно сгенерированным начальным паролем. |
Булевая |
Query Supported Extensions |
Позволяет запросить у сервера LDAP поддерживаемые расширения, элементы управления и функции. Затем некоторые дополнительные параметры поставщика LDAP будут автоматически настроены на основе возможностей/расширений/функций, поддерживаемых сервером LDAP. Например, если расширение LDAPv3 для изменения пароля поддерживается сервером LDAP, соответствующий переключатель будет включен для поставщика LDAP. |
Кнопка |
Validate Password Policy |
Определяет, должен ли Keycloak проверять пароль с помощью политики паролей realm перед его обновлением |
Булевая |
Подтверждение E-mail |
Если включено, то E-mail, предоставленный этим поставщиком не будет подтвержденным даже если подтверждение включено для realm. |
Булевая |
Использование доверенных сертификатов SPI |
Определяет, будет ли соединение с LDAP использовать хранилище доверенных сертификатов SPI вместе с сертификатами, сконфигурированными в keycloak-server.json. 'Всегда' означает, что они будут использоваться всегда. 'Никогда' означает, что они никогда не будут использованы. 'Только для ldap`ов' означает, что они будут использованы вместе с настроенными соединениями к ldap серверам. Обратите внимание, что если keycloak-server.json не сконфигурирован, то по умолчанию Java будет использовать cacerts или сертификат, определенный в 'javax.net.ssl.trustStore'. |
Выпадающий список |
Тайм-аут соединения |
Тайм-аут соединения с LDAP в миллисекундах |
Текстовое поле |
Тайм-аут чтения |
Тайм-аут чтения из LDAP в миллисекундах. Этот тайм-аут применяется к операциям чтения из LDAP |
Текстовое поле |
Постраничный вывод |
Должен ли LDAP сервер поддерживать постраничный вывод. |
Булевая |
Пул соединений
Ниже изображен интерфейс пула соединений.
В таблице представлено детальное описание интерфейса пула соединений.
Наименование настройки |
Описание |
Тип настройки |
|---|---|---|
Включить StartTLS |
Шифрует соединение с LDAP с помощью STARTTLS, что отключит пул соединений. |
Булевая |
Enable the LDAPv3 Password Modify Extended Operation |
Используйте расширенную операцию изменения пароля LDAPv3 (RFC-3062). Расширенная операция изменения пароля обычно требует, чтобы у пользователя LDAP уже был пароль на сервере LDAP. Поэтому, когда это используется с "Синхронизацией регистраций", может быть полезно добавить также "Жестко закодированный атрибут LDAP, сопоставленный" со случайно сгенерированным начальным паролем. |
Булевая |
Query Supported Extensions |
Позволяет запросить у сервера LDAP поддерживаемые расширения, элементы управления и функции. Затем некоторые дополнительные параметры поставщика LDAP будут автоматически настроены на основе возможностей/расширений/функций, поддерживаемых сервером LDAP. Например, если расширение LDAPv3 для изменения пароля поддерживается сервером LDAP, соответствующий переключатель будет включен для поставщика LDAP. |
Кнопка |
Validate Password Policy |
Определяет, должен ли Keycloak проверять пароль с помощью политики паролей realm перед его обновлением |
Булевая |
Подтверждение E-mail |
Если включено, то E-mail, предоставленный этим поставщиком не будет подтвержденным даже если подтверждение включено для realm. |
Булевая |
Использование доверенных сертификатов SPI |
Определяет, будет ли соединение с LDAP использовать хранилище доверенных сертификатов SPI вместе с сертификатами, сконфигурированными в keycloak-server.json. 'Всегда' означает, что они будут использоваться всегда. 'Никогда' означает, что они никогда не будут использованы. 'Только для ldap`ов' означает, что они будут использованы вместе с настроенными соединениями к ldap серверам. Обратите внимание, что если keycloak-server.json не сконфигурирован, то по умолчанию Java будет использовать cacerts или сертификат, определенный в 'javax.net.ssl.trustStore'. |
Выпадающий список |
Тайм-аут соединения |
Тайм-аут соединения с LDAP в миллисекундах |
Текстовое поле |
Тайм-аут чтения |
Тайм-аут чтения из LDAP в миллисекундах. Этот тайм-аут применяется к операциям чтения из LDAP |
Текстовое поле |
Постраничный вывод |
Должен ли LDAP сервер поддерживать постраничный вывод. |
Булевая |
Интеграция с Kerberos
Ниже изображен интерфейс настройки интеграции с Kerberos.
В таблице представлено детальное описание интерфейса интеграции с Kerberos.
Интеграция с Kerberos |
||
|---|---|---|
Размер пачки |
Количество пользователей LDAP, которые будут импортированы в Keycloak за одну транзакцию. |
Текстовое поле |
Периодическая полная синхронизация |
Должна ли быть включена полная периодическая синхронизация пользователей LDAP в Keycloak или нет |
Булевая |
Период полной синхронизации |
Период для полной синхронизации в секундах |
Текстовое поле |
Периодическая синхронизация изменений пользователей |
Должна ли быть включена периодическая синхронизация новых и измененных пользователей LDAP в Keycloak или нет |
Булевая |
Период синхронизации измененных пользователей |
Период для синхронизации измененных или вновь созданных пользователей LDAP в секундах |
Текстовое поле |
Настройки кэширования
Настройки кэширования EVICT_DAILY:
Настройки кэширования EVICT_WEEKLY:
Настройки кэширования MAX_LIFESPAN:
Настройки кэширования NO_CACHE:
В таблице представлено детальное описание интерфейса настройки кэширования.
Наименование настройки |
Описание |
|
|---|---|---|
Тип настройки |
||
Политики кэширования |
Политики кэширования для этого поставщика хранения. 'DEFAULT' представляет настройки по умолчанию для глобального пользовательского кэша. 'EVICT_DAILY' время каждого дня, после которого пользовательский кэш инвалидируется. 'EVICT_WEEKLY' день и время недели после которого пользовательский кэш инвалидируется. 'MAX-LIFESPAN' время в миллисекундах, в течение которого будет существовать жизненный цикл записи в кэше. |
Список с возможностью выбора значений |
EVICT_DAILY |
||
Час исключения |
Час дня, в который запись станет недействительной. |
Выпадающий список |
Минута исключения |
Минута дня, в которую запись станет недействительной. |
Выпадающий список |
EVICT_WEEKLY |
||
День исключения |
День недели в который запись станет недействительной и будет исключена из кэша. |
Выпадающий список |
Час исключения |
Час дня, в который запись станет недействительной. |
Выпадающий список |
Минута исключения |
Минута дня, в которую запись станет недействительной. |
Выпадающий список |
MAX_LIFESPAN |
||
Максимальное время жизни |
Максимальное время жизни записи пользовательского кэша в секундах. |
Выпадающий список |
NO_CACHE |