我想将外部openid-connect提供程序角色映射到我的keycloak客户端角色。
为此,我配置了身份提供程序(在我的情况下,这是另一个Keycloak实例)。通过第二个实例登录到主密钥斗篷就像一个超级按钮。
我们需要根据外部角色在服务器中分配角色。为此,我为身份提供者配置了Role mapper
类型的Eternal role to role
。奇迹般有效。
用户John要登录Keycloak A
,请转至外部IDP(Keycloak B
)。 Keycloak B
对用户进行身份验证,并返回角色为X
的JWT令牌。我的Keycloak A
配置为将角色X
映射到角色Y
。
问题在于,一旦Keycloak B
管理员从角色X
中删除John后,他仍然可以按预期方式登录到我的系统,但是角色Y
却未被删除。有机会同步角色而不是仅映射一次吗?
答案 0 :(得分:0)
在创建角色Mapper External role to role
期间,将Sync Mode Override
选项设置为'force',以便在每次使用身份提供者登录时始终更新用户。