我使用的是Keycloft 18.0.2。Okta是我配置的身份提供者之一。我使用的是OIDC提供程序(而不是SAML(。我想将来自Okta的传入组声明映射到我在Keycloft中定义的用户组。我找不到很多关于如何在传入列表中搜索特定传入组的例子(Okta声称的组是一个列表,也称为数组(。这意味着,在Okta中,如果我为Okta授权服务器预览我的令牌,令牌看起来像这样:
{
...
"scp": [
"openid"
],
"auth_time": 1000,
"sub": "testuser@xyz.com",
...
"groups": [
"Group1",
"Group2",
"Group3"
]...
}
在Keycloft中,我定义了一个用户组,称之为";亚太";。在密钥斗篷身份映射器提供者详细屏幕中,我想说,如果传入的组声明包含";Group1";然后映射到组"0";"亚太";但我似乎无法让它发挥作用。我在";name";以及";值";字段,因为无论我指定什么,它似乎都不起作用?同样,传入组声明的值不是字符串,而是字符串数组。提前谢谢。
密钥斗篷中的身份提供者映射器
开始工作了。在调试了Keycloft代码之后,我发现了这个问题。长话短说,在我的Okta授权服务器中定义的组声明在";访问";名为";FEDERATED_ACCESS_TOKEN_RESPONSE"Keycloft代码期望看到来自Okta的团体声明在";有效ID_TOKEN";或";VALIDATED_ACCESS_TOKEN";代币有关详细信息,请访问github.com/keyclock/keyclock/descussions/13646。