我想将外部openid-connect提供程序角色映射到我的keycloak客户端角色。
为此,我配置了身份提供程序(在我的情况下,这是另一个Keycloak实例)。通过第二个实例登录到主密钥斗篷就像一个超级按钮。
我们需要根据外部角色在服务器中分配角色。为此,我为身份提供者配置了Role mapper类型的Eternal role to role。奇迹般有效。
用户John要登录Keycloak A,请转至外部IDP(Keycloak B)。 Keycloak B对用户进行身份验证,并返回角色为X的JWT令牌。我的Keycloak A配置为将角色X映射到角色Y。
问题在于,一旦Keycloak B管理员从角色X中删除John后,他仍然可以按预期方式登录到我的系统,但是角色Y却未被删除。有机会同步角色而不是仅映射一次吗?
答案 0 :(得分:0)
在创建角色Mapper External role to role期间,将Sync Mode Override选项设置为'force',以便在每次使用身份提供者登录时始终更新用户。