全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

使用KeyCloak进行角色SSO的示例

最近更新时间:2024-09-18 19:30:01

本文以KeyCloak与金山云进行角色SSO的示例,帮助您理解企业IdP与金山云进行SSO的端到端配置流程。

一、访问控制中获取SAML服务提供商元数据

  1. 登录访问控制控制台

  2. 选择左侧菜单SSO管理

  3. SSO管理页面, 单击用户SSO页签

  4. 复制SAML服务提供商元数据URL

  5. 在新的浏览器窗口中打开复制的链接,将元数据XML文件另存到本地

    image.png


    image.png

二、KeyCloak客户端配置金山云元数据

(一)创建Realm

  1. 登录KeyCloak门户

  2. 切换到管理员身份

  3. 在左侧导航栏,选择Create realm,并填写Realm name,一般是公司名称

    image.png

(二)配置Realm客户端

  1. 导入元数据XML文件

    屏幕截图 20230829 110445.png


    屏幕截图 20230829 110533.png
  2. 设置登录地址

    屏幕截图 20230829 110647.png

三、获取当前Realm元数据文档

点击Realm Settings菜单中Endpoints中的SAML 2.0 Identity Provider Metadata链接,可查看具体的IDP Metadata内容,将内容保存至本地IdpMetadata.xml文件中

屏幕截图 20230829 110745.png


屏幕截图 20230829 110822.png

四、访问控制中配置SSO

  1. 创建身份提供商,并上传Realm元数据文档(创建超过后,“身份提供商KRN”后续会使用到)

    屏幕截图 20230829 110904.png


    屏幕截图 20230829 110947.png
  2. 新建角色

    屏幕截图 20230829 110957.png


    屏幕截图 20230829 111023.png
  3. 设置角色权限

    屏幕截图 20230829 111040.png
  4. 保存角色KRN

    屏幕截图 20230829 111104.png

五、KeyCloak创建role

Role name为访问控制“角色KRN”+“身份提供商KRN”,以英文逗号连接

屏幕截图 20230829 111222.png

六、新增客户端scopes

(一)点击Add client scope

屏幕截图 20230829 111246.png

(二)打开Full scope allowed

七、配置mapper

(一)新增Role list

点击Add mapper,如果已有默认数据,将默认的Role、RoleSessionName、SessionDuration删除

点击Configure a new mapper,选择Role list

Name和Role attribute name输入:https://www.ksyun.com/SAML-Role/Attributes/Role

屏幕截图 20230829 111419.png

保存后,返回到Client details页的Client scopes将role_list切换为Optional

image.png

(二)新增User Property

点击Add mapper,选择By configuration,使用User Property

Name和SAML Attribute Name使用:https://www.ksyun.com/SAML-Role/Attributes/RoleSessionName

Property填写"username"或"email",取决与你的Users使用什么方式登录

屏幕截图 20230829 111515.png

(三)新增Hardcoded attribute

点击Add mapper,选择By configuration,使用User Property

Name和Friendly Name、SAML Attribute Name填写:https://www.ksyun.com/SAML-Role/Attributes/SessionDuration

Attribute value:最小支持60秒(一分钟),最大支持86400秒(24小时)

八、配置Users

(一)新增Users

屏幕截图 20230829 111635.png


屏幕截图 20230829 111650.png

(二)设置密码

屏幕截图 20230829 111705.png


屏幕截图 20230829 111728.png

九、配置Groups

(一)新增group

屏幕截图 20230829 111748.png

(二)添加成员

屏幕截图 20230829 111805.png

(三)添加角色

切换成Filter by clients搜索ksyun

勾选并确认

八、登录

(一)获取登录地址

屏幕截图 20230829 111924.png

(二)浏览器登录

屏幕截图 20230829 112012.png

文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈