我们有一个使用Key斗篷的应用程序(当前版本4.8.3.Final-计划升级到11(今天,我们已经连接了ActiveDirectory,因此用户可以通过LDAP身份验证访问该软件。现在,我们想要更改ActiveDirectory,并希望保留用户,但将他们从当前用户联合会切换到新的用户联合会。
这可能吗?如果可能,我该怎么做?(我还没有在文档中找到(
据我所知,这是不可能的,因为当你与来自外部用户联盟(,即active directory(的用户进行登录时,凭据的身份验证(即检查用户名/密码是否匹配(是在用户联盟方完成的,而不是在Keycloft中,这意味着Keycloft不存储所有用户信息(例如用户凭证(。
来自Keycloft文档本身:
默认情况下,Keycapture将用户从LDAP导入本地密钥斗篷用户数据库。此用户副本已同步根据需要或通过周期性的后台任务单个异常这就是密码的同步。密码永远不会已导入它们的验证始终委托给LDAP服务器。这个这种方法的好处是所有Keycloft功能都可以所需的任何额外的每用户数据都可以存储在本地。这个这种方法的缺点是,每次第一次查询到相应的Keycloft数据库插入执行。
基于此,可以推断出将无法:
现在我们想要更改ActiveDirectory,并希望保留用户,但将他们从当前用户联合会切换到新的一
此外,从设计角度来看,IMO此类功能不应由IDP负责。