Versions Compared

Old Version 3

changes.mady.by.user Michał Bordoszewski

Saved on

compared with

New Version 4

changes.mady.by.user Michał Bordoszewski

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Wstęp

Instalacje PASK w wersjach < 2.0.0 umożliwiały zarządzanie kontami użytkowników wyłącznie w powiązaniu z domeną (z pomocą konektora AD). Utworzenie konta użytkownika dla tożsamości w PASK wymagało wskazania konektora AD, za pośrednictwem którego następowało wiązanie z użytkownikiem domenowym.

...

  1. Przy dużej liczbie użytkowników zaleca się skorzystanie z dedykowanego narzędzia migracyjnego - keycloak-manager’a, którego opisznajduje się "w instrukcji patchowania 1.11.1 -> 2.0.0

  2. dalsze automatyczne zarządzanie uprawnieniami odbywa się za pomocą konektora Keycloak:
    https://uniteampaskid.atlassian.net/wiki/spaces/IAM/pages/499286017x/AYAqHw

Migracja do grup LDAP

Note

UWAGA: Migracja jest zalecana jeszcze w wersji PASK 1.11.X

...

  1. Do przeprowadzenia operacji zaleca się wykorzystać dedykowane narzędzie migracyjne - keycloak-manager’a, którego opisznajduje się "w instrukcji patchowania 1.11.1 -> 2.0.0

  2. Przypisywanie nowym użytkownikom identyfikatora tożsamości w wersji 2.0.0+ może zostać zrealizowane w zależności od metody zarządzania użytkownikami i uprawnieniami w PASK.

    1. nadawanie uprawnień do PASK za pomocą konektora Keycloak. Provisioning uprawnień dla zasobu PASK może być realizowany automatycznie z wykorzystaniem konektora Keycloak (nowość w wersji 2.0.0). Konfiguracja konektora pozwala na włączenie opcji, która powoduje akcję utworzenia użytkownika, jeżeli nie istnieje on w Keycloak w momencie nadawania uprawnień. Szczegółowy opis konfiguracji konektora: https://uniteampaskid.atlassian.net/wiki/spaces/IAM/pages/499286017x/AYAqHw

    2. za pomocą atrybut użytkownika LDAP - jeżeli nadawanie uprawnień do systemu PASK odbywa się za pomocą grup LDAP i konektora AD wymagane jest aby w konektorze AD, wykorzystywanym do tworzenia kont (użytkowników) LDAP, skonfigurowany był dodatkowy atrybut użytkownika LDAP w którym przechowywany będzie identyfikator tożsamości PASK.

    3. Następnie atrybut LDAP musi zostać zmapowany w PASK Keycloak w ramach skonfigurowanego User Federation, do atrybutu usera Keycloak o nazwie identityId_FromLDAP. Poniżej opisano kroki realizacji mapowania. UWAGA! Opis zakłada (przykładowo), że na serwerze domenowym LDAP jest skonfigurowany atrybut o nazwie paskId, który wykorzystywany jest do mapowania. W konkretnym rozwiązaniu ta nazwa może być inna .

      1. PASK - Konfiguracja tworzenia kont w konektorze AD wykorzystywanym w procesie tworzenia kont użytkowników LDAP. Ustawienie reguły dla atrybutu o nazwie paskId na wartość Identyfikator PASK

      2. PASK Keycloak - Dodaniemappera typu user-attribute-ldap-mapper w skonfigurowanym UserFederation, mapujący atrybut LDAP paskId na atrybut Keycloak identityId_FromLDAP.

...