В консоли администратора Keycloak вы можете навести курсор на всплывающую подсказку - крошечный знак вопроса - рядом с меткой атрибута LDAP, если вы хотите получить как можно больше информации о ней. Я проверил это на Keycloak v6.0.1, но я предполагаю, что это относится к самым последним версиям. Такая подсказка часто дает больше информации, чем вы можете найти на веб-сайте документации Keycloak. Подробнее об этих атрибутах:
Имя пользователя LDAP-атрибут: Имя атрибута LDAP, который отображается как имя пользователя Keycloak. Для многих поставщиков серверов LDAP это может быть «uid». Для Active Directory это может быть 'sAMAccountName' или 'cn'. Атрибут должен быть заполнен для всех записей пользователей LDAP, которые вы хотите импортировать из LDAP в Keycloak. Таким образом, вы можете использовать атрибут mail, если хотите использовать его в качестве имени пользователя в Keycloak. Затем пользователи будут входить в Keycloak со своим адресом электронной почты. Если вы включите синхронизацию LDAP с локальной базой данных Keycloak (включите Import Users), это будет записано там как имя пользователя.
Атрибут RDN LDAP: Имя атрибута LDAP, который используется как RDN (верхний атрибут) типичного DN пользователя. Обычно это то же самое, что и атрибут LDAP имени пользователя, но это не обязательно. Например, для Active Directory обычно используется «cn» в качестве атрибута RDN, когда атрибутом имени пользователя может быть «sAMAccountName». Например, с обычным каталогом LDAP (не Active Directory), где DN пользователей обычно uid=XXX,ou=people,dc=example,dc=com, вы могли бы используйте там uid.
[РЕДАКТИРОВАТЬ 2019-05-31] Атрибут RDN фактически используется, например, при создании нового пользователя в Keycloak. Если в настройках параметра Edit Mode установлено значение WRITABLE, Keycloak синхронизирует его с каталогом LDAP, т. Е. Создает новую запись пользователя в LDAP. Для этого ему необходимо (среди прочего) RDN и Users DN (еще один параметр ниже RDN) для создания полного DN новой записи LDAP пользователя.
UUID атрибут LDAP: Имя атрибута LDAP, который используется как уникальный идентификатор объекта (UUID) для объектов в LDAP. Для многих поставщиков серверов LDAP это 'entryUUID', но некоторые отличаются. Например, для Active Directory это должен быть «objectGUID». Если ваш сервер LDAP действительно не поддерживает понятие UUID, вы можете использовать любой другой атрибут, который должен быть уникальным среди пользователей LDAP в дереве. Например, 'uid' или 'entryDN'. В любом стандартном каталоге LDAP v3 следует использовать entryUUID (OpenLDAP, OpenDJ ...).
Что касается передового опыта использования UUID в каталогах LDAP, вы можете обратиться к стандарту RFC 4530 .
В целом, я бы советовал не использовать «почту» в качестве UUID, поскольку «почта» пользователя может измениться (см. Причины ниже), тогда как запись UUID - независимо от того, является ли она записью пользователя или нет - предназначена для глобально уникально генерируемый номер (или, по крайней мере, содержащий такой номер), обычно генерируемый на стороне сервера и фиксируемый раз и навсегда для записи. (Кроме того, он не должен использоваться повторно, даже после удаления записи, поскольку идентификаторы UUID должны быть уникальными во времени и пространстве.) В частности, он не должен зависеть от каких-либо пользовательских атрибутов variable , таких как адрес электронной почты.
Действительно, адрес электронной почты пользователя может меняться в течение его / ее жизни в организации по разным причинам, просто назвать несколько:
- Пользователи - как правило, женщины - могут вступать в брак или разводиться и, следовательно, могут менять свою фамилию.
- Высшее руководство решает провести ребрендинг компании и, следовательно, изменить почтовый домен.
- Компания проходит слияние или поглощение с другой компанией, поэтому почтовый домен снова меняется.
...