Тема
Настройка SAML-клиента в KeyCloak
- Войдите в аккаунт администратора KeyСloak
- Перейдите в раздел
Clients
и выберитеCreate client
- Заполните обязательные поля и нажмите
Save
:
Client type
-SAML
Client ID
-https://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/metadata
- Во вкладке
Settings
в полеValid redirect URIs
добавьте значениеhttps://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/acs
- Укажите
Name ID format
-email
, и включите опциюForce name ID format
- Проверьте настройки раздела
Signature and Encryption
и нажмитеSave
. Рекомендуется включить опциюSign documents
- Перейдите во вкладку
Keys
и отключите опциюClient signature required
- Перейдите во вкладку
Client scopes
и откройтеClient scope
, который соответствует вашему клиенту
- Отключите во вкладке
Scope
опциюFull scope allowed
- Перейдите на вкладку
Mappers
и создайте следующие атрибуты:
- адрес электронной почты
- Mapper type:
User Property
- Name:
X500 email
- Property:
email
- Friendly Name:
email
- SAML Attribute Name:
email
- SAML Attribute NameFormat:
Unspecified
- Mapper type:
- фамилия
- Mapper type:
User Property
- Name:
X500 surname
- Property:
lastName
- Friendly Name:
surname
- SAML Attribute Name:
lastName
- SAML Attribute NameFormat:
Unspecified
- Mapper type:
- имя
- Mapper type:
User Property
- Name:
X500 givenName
- Property:
firstName
- Friendly Name:
givenName
- SAML Attribute Name:
firstName
- SAML Attribute NameFormat:
Unspecified
- Mapper type:
- группы, в которых состоит пользователь
- Mapper type:
Group list
- Name:
groups
- Group attribute name:
memberOf
- Friendly Name:
groupList
- SAML Attribute NameFormat:
Unspecified
- Mapper type:
Примеры:
- Перейдите в
Realm settings
и откройте ссылкуSAML 2.0 Identity Provider Metadata
.
- Скопируйте с открытой страницы для использования в настройках сервиса следующие значения:
- URL страницы входа -
Location
элементаSingleSignOnService
(HTTP-POST) - Издатель поставщика удостоверений -
entityID
корневого элемента - Проверочный сертификат - содержимое
X509Certificate