Есть ли способ для Keycloak, выступающего в качестве посредника SAML IDP, передать все роли клиенту без настройки сопоставителей?

Question

Мы хотим использовать Keycloak в качестве посредника SAML для стороннего IDP. Наш сторонний IDP проходит через группы пользователей как атрибуты роли, и мы хотим, чтобы они передавались клиенту.

Мы, однако, не знаем все группы заранее, поэтому мы просто хотим, чтобы они пришли к клиенту без фильтрации их Keycloak.

Keycloak, кажется, передает их клиенту только в том случае, если у вас есть мапперы, для чего необходимо заранее знать сторонние группы IDP и сообщить, когда создаются новые группы.

Есть ли способ настроить Keycloak для прохождения через клиент всех атрибутов ролей, а не только тех, которые я явно сопоставил? Я просто хочу, чтобы все, что отправил ВПЛ, доходило до клиента. Я подумал, что для клиента ответом была настройка «Полный диапазон разрешен», но, похоже, нет.

Answer 1

В итоге я создал свой собственный IdentityProviderMapper, похожий на тот, что был внутри Keycloak:

(https://github.com/keycloak/keycloak/blob/master/services/src/main/java/org/keycloak/broker/saml/mappers/AttributeToRoleMapper.java)

Затем я предоставил свою собственную логику для прохождения всех ролей из IDP.создание их, если они не существуют, и предоставление / отзыв их у пользователя на основе содержимого в утверждении SAML.