У меня есть вопрос о передовом опыте интеграции Keycloak и FreeIPA LDAP.
У нас есть разрешения в нашей иерархии FreeIPA, эти разрешения уже привязаны к привилегиям, привилегии прикреплены к ролям, и роли, прикрепленные к группам или пользователям. Мы хотим обеспечить сопоставление привилегий FreeIPA через Keycloak SSO. Я могу настроить group-ldap-mapper и role-ldap-mapper и user-attribute-ldap-mapper в качестве поставщика удостоверений в Keycloak, но не могу найти сопоставитель для привилегий.
Роли, группы, пользователи предоставляются базами поиска ldap:
cn=roles,cn=accounts,dc=example,dc=com
cn=groups,cn=accounts,dc=example,dc=com
cn=users,cn=accounts,dc=example,dc=com
Права и разрешения предоставляются базой поиска ldap:
cn=privileges,cn=pbac,dc=example,dc=pro
cn=permissions,cn=pbac,dc=example,dc=pro
Могу ли я построить это маппер вручную для предоставления настраиваемого поля в JWT-токен? Каков наилучший способ / практика для создания моделей разрешений в случае, когда мое приложение будет считывать привилегии из токена и предоставлять разрешения пользователям, использующим RBA C (управление доступом на основе ролей) или PBA C (доступ на основе привилегий контроль)?