如何将Artifactory配置为自动将OAuth用户分配给LDAP组?
我已经将Artifactory设置为允许通过Keycloak中的OIDC客户端进行SSO。Keycloak在后台与Active Directory对话。我还在Artifactory中配置了相同的Artifactory。我还将Keycloak配置为在userinfo结构中提供用户组。
我想要做的是让OAuth用户自动被添加到Artifactory中导入的LDAP组中。我不介意这是通过userinfo结构完成的,还是在用户登录时通过单独的LDAP查找完成。然而,我似乎想不出如何做到这一点。
我知道Artifactory提供了一个名为synchronizeLdapGroups.groovy的插件,它似乎在做我所需要的广告,但是看起来这个插件并没有真正发挥作用。也就是说,用户最终不会获得LDAP组中所提供的权限。
我试图自己编写一个插件来完成我需要的事情,但是当我调用API将组添加到用户时,插件就会崩溃。目前还不清楚为什么。
似乎其他人使用了Artifactory中的SCIM特性来实现类似的功能(主要是通过SAML而不是OIDC ),但是Keycloak并不支持SCIM,而且我尝试使用的SCIM插件也同样没有给我任何结果。
曾经做过类似的事情,并且有一个我可以遵循的解决方案??。
回答 1
Stack Overflow用户
发布于 2021-10-28 06:30:15
如果它是一个特定的组,您希望所有用户都在其中,可以尝试:
安全项下的
- - OAuth SSO设置选项卡-选中标识和访问项下的“自动创建用户”
- -组-选择特定组并检查“自动加入新用户到组”
我猜您想要自动同步Keycloak和Artifactory之间的用户组关联。SCIM是您正在寻找的,但有一个已知的问题,特别是与Keycloak插件。我们正在研究用于Keycloak的SCIM插件(无法提交修复的特定时间线,但应该是本季度的某个时候)。
如果您只需要UI中的关联,您可以尝试使用“自动关联组”设置的SAML。它不会将组关联应用于每个but /令牌调用,但它将适用于UI。
编辑:经过进一步的调查,github.com/Captain-P-Goldfish/scim-for-keycloak与此无关--它使keycloak成为SCIM客户端,而不是SCIM服务器。在keycloak中没有SCIM的官方支持,请参见Ises.redhat.com/浏览/KEYCLOAK-2537。而且没有一个可以工作的键盘斗篷插件,使它成为我能找到的SCIM服务器(试过几个,都坏了)。就目前而言,Artifactory不能用Keycloak支持SCIM
https://stackoverflow.com/questions/69747981
复制相似问题
腾讯云开发者
