Keycloak SAML-tunnistuspalvelun määritys
Tämä dokumentti kuvaa prosessin SAML-tunnistuspalveluiden määrittämiseksi Keycloakissa Willbaa varten. Se kattaa yleiset määritysvaiheet kaikille SAML-palveluntarjoajille, sekä palveluntarjoajakohtaiset yksityiskohdat tarvittaessa.
Edellytykset
Ennen Keycloak-asetuksien määrittämistä sinulla tulisi olla:
- SAML-metadatatiedosto tunnistuspalveluntarjoajalta (Google Workspace tai Microsoft Entra ID)
- Tiedot attribuuteista
- Tiedot ryhmistä, jos ne integroidaan
Yleiset määritysvaiheet
- Kirjaudu realm-admin -tunnuksilla Keycloak-konsoliin
- Avaa Identity Providers päävalikosta
- Lisää uusi palveluntarjoaja valitsemalla SAML
- Aseta
Aliasyksilöllisellä nimellä, jos sinulla on useita tunnistuspalveluntarjoajia yhdessä ympäristössä - Aseta
Display namekuvaavalla nimellä. Se näytetään Willban kirjautumisruudun pääpainikkeessa. Jos sinulla on useita tunnistuspalveluntarjoajia yhdessä ympäristössä, käyttäjät voivat valita oikean tämän nimen perusteella. - Aseta
Display orderarvoon1. Jos useita palveluntarjoajia, aseta2toiselle ja niin edelleen. Willba-tukitiimin järjestelmänvalvojan kirjautuminen on varattuDisplay orderarvolla100. - Kytke Use entity descriptor POIS PÄÄLTÄ
- Tuo määritykset asiakkaan toimittamasta metadatatiedostosta
- Määritä asetukset
- Tallenna
- Määritä attribuutit ja ryhmien mäppäys
- Varmista, että yhteys toimii
Yleiset asetukset
| Asetus | Arvo | Kuvaus |
|---|---|---|
| NameID policy format | ||
| Principal type | Subject NameID | |
| Allow create | On | Tärkeää, anna SAML:n luoda Willba-käyttäjät ensimmäisellä kirjautumisella |
| HTTP-POST binding response | On | |
| HTTP-POST binding for AuthnRequest | On | |
| Comparison | exact | |
| Trust Email | On | Älä vaadi sähköpostin vahvistusta |
| First login flow | first broker login | |
| Post login flow | None | |
| Sync mode | Force | Tärkeä asetus, joka pakottaa käyttäjätietojen synkronoinnin jokaisella kirjautumisella |
Attribuutit ja ryhmät
Etunimen ja sukunimen mäppäys
Google Workspace
Google Workspacea varten luo seuraavat mäppäystiedot:
Etunimi:
- ID:
firstName - Name:
firstName - Sync mode override:
Inherit - Mapper type:
Attribute Importer - Attribute Name:
firstName - Friendly Name:
- Name Format:
ATTRIBUTE_FORMAT_BASIC - User Attribute Name:
firstName
Sukunimi:
- ID:
lastName - Name:
lastName - Sync mode override:
Inherit - Mapper type:
Attribute Importer - Attribute Name:
lastName - Friendly Name:
- Name Format:
ATTRIBUTE_FORMAT_BASIC - User Attribute Name:
lastName
Microsoft Entra ID
Microsoft Entra ID:tä varten luo seuraavat mäppäystiedot:
Etunimi:
- ID:
firstName - Name:
firstName - Sync mode override:
Inherit - Mapper type:
Attribute Importer - Attribute Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname - Friendly Name:
- Name Format:
ATTRIBUTE_FORMAT_BASIC - User Attribute Name:
firstName
Sukunimi:
- ID:
lastName - Name:
lastName - Sync mode override:
Inherit - Mapper type:
Attribute Importer - Attribute Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - Friendly Name:
- Name Format:
ATTRIBUTE_FORMAT_BASIC - User Attribute Name:
lastName
Sähköposti:
- ID:
email - Name:
email - Sync mode override:
Inherit - Mapper type:
Attribute Importer - Attribute Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress - Friendly Name:
- Name Format:
ATTRIBUTE_FORMAT_BASIC - User Attribute Name:
email
Ryhmien mäppäys
Luo mäppäystiedot jokaiselle käyttäjäryhmälle, jonka haluat tuoda Willbaan tunnistuspalveluntarjoajalta.
Google Workspace
Google Workspacea varten luo ryhmien mäppäystiedot seuraavasti:
- ID:
{groupName}, esimerkiksiHousekeeping - Name:
User Group {groupName}, esimerkiksiUser Group Housekeeping - Sync mode override:
Force - Mapper type:
Advanced Attribute to Group - Attributes:
- Key:
groups - Value:
{group-exact-name-in-google-workspace}
- Key:
- Regex Attribute Values:
Off - Group: Valitse oikea Willba-ryhmän nimi
Microsoft Entra ID
Microsoft Entra ID:tä varten luo ryhmien mäppäystiedot seuraavasti:
- ID:
{groupName}, esimerkiksiHousekeeping - Name:
User Group {groupName}, esimerkiksiUser Group Housekeeping - Sync mode override:
Force - Mapper type:
Advanced Attribute to Group - Attributes:
- Key:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups - Value:
{group-identifier-in-entra-id}
- Key:
- Regex Attribute Values:
Off - Group: Valitse oikea Willba-ryhmän nimi
tip
Ryhmätunniste Entra ID:ssä on tyypillisesti UUID. Voit löytää sen tutkimalla SAML-vastausta tai tarkistamalla ryhmän ominaisuudet Microsoft Entra ID -portaalista.