Настройка SAML-клиента в KeyCloak

Войдите в аккаунт администратора KeyСloak
Перейдите в раздел Clients и выберите Create client

Заполните обязательные поля и нажмите Save:

Client type - SAML
Client ID - https://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/metadata

Во вкладке Settings в поле Valid redirect URIs добавьте значение https://<ВАШ_ДОМЕН_ЭСБОРД>/sso/saml/acs

Укажите Name ID format - email, и включите опцию Force name ID format

Проверьте настройки раздела Signature and Encryption и нажмите Save. Рекомендуется включить опцию Sign documents

Перейдите во вкладку Keys и отключите опцию Client signature required

Перейдите во вкладку Client scopes и откройте Client scope, который соответствует вашему клиенту

Отключите во вкладке Scope опцию Full scope allowed

Перейдите на вкладку Mappers и создайте следующие атрибуты:

адрес электронной почты
- Mapper type: User Property
- Name: X500 email
- Property: email
- Friendly Name: email
- SAML Attribute Name: email
- SAML Attribute NameFormat: Unspecified
фамилия
- Mapper type: User Property
- Name: X500 surname
- Property: lastName
- Friendly Name: surname
- SAML Attribute Name: lastName
- SAML Attribute NameFormat: Unspecified
имя
- Mapper type: User Property
- Name: X500 givenName
- Property: firstName
- Friendly Name: givenName
- SAML Attribute Name: firstName
- SAML Attribute NameFormat: Unspecified
группы, в которых состоит пользователь
- Mapper type: Group list
- Name: groups
- Group attribute name: memberOf
- Friendly Name: groupList
- SAML Attribute NameFormat: Unspecified

Примеры:

Перейдите в Realm settings и откройте ссылку SAML 2.0 Identity Provider Metadata.

Скопируйте с открытой страницы для использования в настройках сервиса следующие значения:

URL страницы входа - Location элемента SingleSignOnService (HTTP-POST)
Издатель поставщика удостоверений - entityID корневого элемента
Проверочный сертификат - содержимое X509Certificate

Смотрите также