我需要使用 Keycloak 将组成员资格从外部 LDAP 目录转换为 SAML 会话中的 SAML 属性。每个用户的组成员身份数量未定义。组名称将具有 Amazon AWS 的租户 ID 以及 Amazon 中为用户定义的角色(例如 AWS-11111111111-Administrator),因此我非常确定必须在客户端配置中使用 JavaScript Mapper并做一些子字符串修改。
LDAP 组示例(每个用户多个组)
AWS-11111111111-Administrator
AWS-11111111111-Contributer
SAML 属性必须类似于:
arn:aws:iam::11111111111:saml-provider/ProviderName,arn:aws:iam::11111111111:role/Administrator
arn:aws:iam::11111111111:saml-provider/ProviderName,arn:aws:iam::11111111111:role/Contributer
我帮自己解决了这个问题。对我来说,问题的最大部分是缺少“测试按钮”来验证代码正在做什么。另外,发现一个简单的 Java 脚本数组在最后没有迭代(除了鼠标悬停提示所说的之外)。
您需要记住,这是服务器端 Nashorn 解释器,因此它与通常在浏览器中运行的 Javascript 没有太大关系...对于我的问题中可能存在的不准确之处,请见谅:
/**
* Available variables:
* user - the current user
* realm - the current realm
* clientSession - the current clientSession
* userSession - the current userSession
* keycloakSession - the current userSession
*/
//insert your code here...
// use the Identifier variable to filter the relevant groups for this client
var identifier = 'aws';
var StringArray = Java.type("java.lang.String[]");
var ArrayList = Java.type('java.util.ArrayList');
var GroupSet = user.getGroups();
var Output = new ArrayList();
var identifier = identifier.toLowerCase();
for each (var group in GroupSet) {
if (group.getName().toLowerCase().contains(identifier)){
var GroupNameArray = (group.getName().split('-'));
var tenant = GroupNameArray[2];
var role = GroupNameArray[3];
Output.add("Arn:aws:iam::"+tenant+":saml-provider/company,arn:aws:iam::"+tenant+":role/"+role);
}
}
Output;
我正在努力将 LDAP 组映射到 saml 属性。尽管 keycloack 中的组映射良好,但似乎 keycloack 无法从外部源添加组。
您使用哪个属性将组映射到 SAML?
问候