- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个使用 Keycloak 11.0.2 保护的 spring boot 应用程序,我的 Keycloak 设置如下:
Central
的领域,具有角色CentralWebUser
和一个客户端SpringWeb
。客户有
访问类型
:public
并且只启用一个流,即Standard Flow Enabled
有效的重定向 URI
: http://localhost:8000/*SpringApp
的 2ª 领域,具有角色 WebUser
和客户端 spring_brokering
springuser
的用户,具有领域角色 WebUser
spring_brokering
仅将 Standard Flow Enabled
设置为 ON,Valid Redirect URIs
:http://localhost:8080/*和访问类型
: secret
第二个领域是第一个领域的 IDP。因此,要登录用户,请转到 Central
登录页面并选择 IDP SpringAppIDP
。
IDP配置如下:
别名
:SpringAppIDP
,除了启用的选项外,其他所有内容都OFF
SpringApp
端点的 URL(例如,
授权 URL
:http://127.0.0.1:8080/auth/realms/SpringApp/protocol/openid-connect/auth )spring_brokering
及其 secret。在 Spring 方面,我有以下值得一提的属性:
server.port = 8000
keycloak.realm = Central
keycloak.auth-server-url = http://localhost:8080/auth
keycloak.ssl-required = external
keycloak.resource = SpringWeb
keycloak.public-client=true
keycloak.security-constraints[0].authRoles[0]=WebUser
keycloak.security-constraints[0].securityCollections[0].patterns[0]=/services/*
当我访问 http://127.0.0.1:8080/services
时,我被重定向到 Keycloak Central
领域登录页面,然后我单击 SpringAppIDP
并输入用户名 springuser
及其密码。登录成功,但是我得到了一个access denied,这意味着用户springuser
没有角色WebUser
。但是,该角色已分配给第二个领域内的该用户(即 SpringApp
)。
有趣的是,如果在第一个领域中我创建了一个身份提供者映射器 External Role to Role
(在 IDP SpringAppIDP
配置中)映射 WebUser 的外部角色
到 CentralWebUser
并将 spring 属性更改为:
keycloak.security-constraints[0].authRoles[0]=CentralWebUser
keycloak.security-constraints[0].securityCollections[0].patterns[0]=/services/*
我能够登录,这意味着 Keycloak 知道用户具有 WebUser
角色,因此将该角色映射到 CentralWebUser
角色。
我想知道是否可以将角色从外部 IDP 显式导入到内部 IDP?或者,如果(以及如何)我可以代表用户请求一个 token ,该 token 将从该 token 中的 Central
和 SpringWeb
领域拥有该用户的角色,而无需必须为每个用户角色显式创建角色映射器。
最佳答案
I would like to know if it is possible to explicitly import the rolesfrom an external IDP into an internal one? Or if (and how) can Irequest a token in behalf to the user that would have that users'roles from both the Central and SpringWeb Realm in the that token,without having to explicitly creating a Role Mapper for each userrole.
在没有为每个用户角色显式创建角色映射器的情况下,我找到的唯一解决方案是扩展 Keycloak 代码;这带来了明显的缺点。
回想起来,Keycloak 没有提供一种开箱即用的方法来自动从外部 IDP 导入所有角色,这实际上是有道理的。例如,如果我将 Google 用作外部 IDP,为什么我的内部 IDP(即 ,Keycloak)要关心 Google 使用的角色的确切名称?!。最有可能的是,这些角色对内部 IDP 来说毫无意义,而当它们有意义时,它们可能有不同的名称。无论如何,对于这些异常,可以使用 Role Mapper 功能。
尽管如此,为了稍微自动化该过程,我创建了一个文件,将内部 IDP 的角色映射到外部 IDP,例如:
ROLE A | ROLE B
....
我还有一个 JSON 文件,其中包含一个角色映射器示例的模板,其中有一些标记随后会被替换(例如,字段 role
和 external.role
)。
使用脚本,我读取具有角色之间映射的文件,并使用 Keycloak Admin REST API创建角色、映射器等。
我使用的逻辑如下:
POST/{realm}/roles
JSON
内容的端点 POST/{realm}/identity-provider/instances/{alias}/mappers
创建角色映射器模板角色映射文件(相应地替换了它的标签)。不在外部 IDP 中创建领域角色的理由是,无论如何,外部 IDP 中的所有角色都应该已经从 LDAP 加载。对于内部 IDP,我确实创建了,因为对于映射 1 到 1,来自 LDAP(加载到外部 IDP)的角色尚未创建是可以预期的内部 IDP。
关于java - 如何从外部 IDP 读取/导入角色到 Keycloak,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64634250/
我需要为打开的 xlsx 文件取消隐藏工作表 TAB,为此,我使用 VBS 文件打开 xlsm 文件并激活宏(位于模块中)。 当我手动运行宏时,它可以工作。 当它通过vbs激活时,它只能看到包含宏的x
我正在使用 Google Cloud Compute Engine 安装气流并使其保持正常运行。安装很好,现在它在主机上运行:0.0.0.0:8080 我有此 VM 实例的外部 IP 地址,但是我无法
我们可以在 GWT 中使用这个 $entry 方法来允许外部 javascript 执行 java 方法。 你可以在他们的文档 https://developers.google.com/web-to
在 Cython 的“Hello World”和 C 数学库中调用函数的示例之后 here ,我真正想做的是将我自己的 C 代码放在一个单独的文件中,并在 Cython 中使用它。关注 this ,我
我一直在试验 JSON Pointers引用和重用 JSON schemas . 按照示例,我能够引用在另一个 JSON 模式中声明的特定属性,一切都按预期进行,但是我还没有找到一种方法来扩展基本 J
我正在使用 X.jar 并添加到我的 AspectJ 项目(在 eclipse 中)。我已经为 X.jar 中的 myMethod() 方法编写了切入点和建议。 但是aspectj 并没有拦截这个方法
我正在 Controller 中创建一个自定义指令,并在 ng-repeat 中调用它,如下所示: HTML: JS: 在测试指令中,我按如下方式调用 loadDat
我正在尝试加载服务器上本地存在的 HTML 页面,位于名为 HTML-FIles 的文件夹中。 我想使用 jquery 加载一个文件并将其内容显示在 div 中。 现在,我可以加载文件,但在 div
我正在尝试根据初始选择从 JSON 文件生成选择菜单。我见过很多不同的方式,人们为此编写了一个函数,但想要一些非常简单的东西。 HTML: Please select Practis
我的目标是从 HTML 文档中获取文本,该文档不会调用 .jsp 文件中的任何函数。 我环顾四周,我以为我已经找到了问题的答案,但它似乎不起作用,其他答案包括使用 jQuery(我既不熟悉也不允许使用
我正在尝试从外部 JSON 文件获取文件内容,但我一直在警报中收到 null。 JS: function getText() { var result = null; var file
我正在加载一个外部 javascript 文件,该文件仅填充有 int 或字符串或 bool 值或数组的变量。类似... varBool=false; var1="var1"; var2="var2:
我的数据存储在外部 Javascript 文件中。 看起来像这样, window.videos = [{ "name": "Sample data", "duration": 154,
我有一个包含 Google ADWords 的 HTML 页面,以及来自外部 URL 的 ajax 调用,我想获取 json 来自 url 的数据。外部API也是我做的。API Controller
我试图看看是否有一种简单的方法可以通过外部 JavaScript 函数访问 Controller 的内部范围(与目标 Controller 完全无关) 我在这里看到了其他几个问题 angular.el
我尝试在运行外部命令时终止脚本,结果出现错误。考虑这个简单的代码: try { where.exe Test-App } catch { Write-Error "Exception
我在 test.js 中定义了一个外部 JS 函数 function InvokeSupport(ID, TimeStamp, Hash) { var sUrl = '' + "?uid="
如果我想将变量从外部 js 文件提取到另一个外部 js 文件。我该怎么做? 例如,如果我有一个名为 example1.js 的文件,其中包含以下代码 var test = 1; 如何获取变量 tes
我正在尝试使用 java 从外部 jar 中读取文件..例如,我有两个 jar 文件。一个是“foo.jar”,另一个是“bar.jar”。 “bar.jar”内部是文件“foo-bar.txt”。如
在我的 Java 应用程序中,我希望从未实际加载的类文件以及也未加载的 jar 文件中读取字节码内容。理想情况下,我需要能够获取任何给定的 jarfile,并找到其中的所有类。因此,考虑以下情况: 我
我是一名优秀的程序员,十分优秀!