Skip to content

Настройка SAML-клиента в KeyCloak

  1. Войдите в аккаунт администратора KeyСloak
  2. Перейдите в раздел Clients и выберите Create client

  1. Заполните обязательные поля и нажмите Save:
  • Client type - SAML
  • Client ID - https://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/metadata

  1. Во вкладке Settings в поле Valid redirect URIs добавьте значение https://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/acs

  1. Укажите Name ID format - email, и включите опцию Force name ID format

  1. Проверьте настройки раздела Signature and Encryption и нажмите Save. Рекомендуется включить опцию Sign documents

  1. Перейдите во вкладку Keys и отключите опцию Client signature required

  1. Перейдите во вкладку Client scopes и откройте Client scope, который соответствует вашему клиенту

  1. Отключите во вкладке Scope опцию Full scope allowed

  1. Перейдите на вкладку Mappers и создайте следующие атрибуты:
  • адрес электронной почты
    • Mapper type: User Property
    • Name: X500 email
    • Property: email
    • Friendly Name: email
    • SAML Attribute Name: email
    • SAML Attribute NameFormat: Unspecified
  • фамилия
    • Mapper type: User Property
    • Name: X500 surname
    • Property: lastName
    • Friendly Name: surname
    • SAML Attribute Name: lastName
    • SAML Attribute NameFormat: Unspecified
  • имя
    • Mapper type: User Property
    • Name: X500 givenName
    • Property: firstName
    • Friendly Name: givenName
    • SAML Attribute Name: firstName
    • SAML Attribute NameFormat: Unspecified
  • группы, в которых состоит пользователь
    • Mapper type: Group list
    • Name: groups
    • Group attribute name: memberOf
    • Friendly Name: groupList
    • SAML Attribute NameFormat: Unspecified

Примеры:








  1. Перейдите в Realm settings и откройте ссылку SAML 2.0 Identity Provider Metadata.

  1. Скопируйте с открытой страницы для использования в настройках сервиса следующие значения:
  • URL страницы входа - Location элемента SingleSignOnService (HTTP-POST)
  • Издатель поставщика удостоверений - entityID корневого элемента
  • Проверочный сертификат - содержимое X509Certificate

Смотрите также