Versions Compared

Old Version 1

changes.mady.by.user Michał Bordoszewski

Saved on

compared with

New Version Current

changes.mady.by.user Michał Bordoszewski

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Wstęp

Instalacje PASK w wersjach < 2.0.0 umożliwiały zarządzanie kontami użytkowników wyłącznie w powiązaniu z domeną (z pomocą konektora AD). Utworzenie konta użytkownika dla tożsamości w PASK wymagało wskazania konektora AD, za pośrednictwem którego następowało wiązanie z użytkownikiem domenowym.

...

  1. Dodanie do skonfigurowanego User Federation mappera grup AD (reprezentujących uprawnienia w PASK).

Konfiguracja Mapera grup AD

Nazwa pola w konfiguracji mapera w User Federation 

Wartość dla Open LDAP 
[przykładowe wartości dla Open LDAP] 

Wartość dla Active Directory 
[przykładowe wartości 
dla Active Directory] 

Źródło wartości w  przypadku migracji do wersji 2.0.0 (nazwa pola konektora AD w PASK)  

Mapper type 

group-ldap-mapper 

group-ldap-mapper 

 

LDAP Groups DN 

 

 

 

Group Name LDAP Attribute 

[cn] 

[cn] 

Grupy -> Główny atrybut (Group Name Attribute)  w konfiguracji konektora  

Group Object Classes  

[posixGroup,  groupOfNames] 

[group] 

Grupy -> Klasy obiektu  (Group Object Classes)  w konfiguracji konektora 

Preserve Group Inheritance 

 

OFF 

OFF 

 

Ignore Missing Groups 

OFF 

OFF 

 

Membership LDAP Attribute 

memberUid 

member 

Grupy -> Atrybut członków grupy (Group Membership Attribute)  w konfiguracji konektora 

Membership Attribute Type 

UID 

DN 

 

Membership User LDAP Attribute 

[cn, uid] 

 

 

Mode 

READ_ONLY 

READ_ONLY 

 

User Groups Retrieve Strategy 

LOAD_GROUPS_BY_MEMEBER_ATTRIBUTE 

LOAD_GROUPS_BY_MEMEBER_ATTRIBUTE 

 

 

 

 

 

Drop non-existing groups during sync 

OFF 

OFF 

 

  1. Synchronizacja grup LDAP/AD → Keycloak - grupy powinny zostać dodane do realm w Keycloak wraz istniejąca przynależnością użytkowników.

...

  1. Posiadane przez dotychczasowych użytkowników role w PASK powinny zostać zmapowane na przypisanie do odpowiednich, predefiniowanych grup.

Mapowanie ról PASK na grupy w PASK Keycloak

Rola 

Nazwa predefiniowanej grupy w PASK Keycloak 

Administrator 

PASK ADMIN 

Audytor 

PASK AUDITOR 

Użytkownik biznesowy 

PASK BUSINESS_USER 

Użytkownik 

PASK USER 

  1. Przy dużej liczbie użytkowników zaleca się skorzystanie z dedykowanego narzędzia migracyjnego

    Odwołanie do

    - keycloak-manager’a, którego opisznajduje się "w instrukcji patchowania 1.11.1 -> 2.0.0

  2. dalsze automatyczne zarządzanie uprawnieniami odbywa się za pomocą konektora Keycloak:
    https://uniteampaskid.atlassian.net/wiki/spaces/IAM/pages/499286017x/AYAqHw

Migracja do grup LDAP

Note

UWAGA: Migracja jest zalecana jeszcze w wersji PASK 1.11.X

...

  1. Do przeprowadzenia operacji zaleca się wykorzystać dedykowane narzędzie mogracyjnemigracyjne - odwołanie do keycloak-manager’a, którego opisznajduje się "w instrukcji patchowania 1.11.1 -> 2.0.0

  2. Przypisywanie nowym użytkownikom identyfikatora tożsamości w wersji 2.0.0+ może zostać zrealizowane w zależności od metody zarządzania użytkownikami i uprawnieniami w PASK.

    1. nadawanie uprawnień do PASK za pomocą konektora Keycloak. Provisioning uprawnień dla zasobu PASK może być realizowany automatycznie z wykorzystaniem konektora Keycloak (nowość w wersji 2.0.0). Konfiguracja konektora pozwala na włączenie opcji, która powoduje akcję utworzenia użytkownika, jeżeli nie istnieje on w Keycloak w momencie nadawania uprawnień. Szczegółowy opis konfiguracji konektora: https://uniteampaskid.atlassian.net/wiki/spaces/IAM/pages/499286017x/AYAqHw

    2. za pomocą atrybut użytkownika LDAP - jeżeli nadawanie uprawnień do systemu PASK odbywa się za pomocą grup LDAP i konektora AD wymagane jest aby w konektorze AD, wykorzystywanym do tworzenia kont (użytkowników) LDAP, skonfigurowany był dodatkowy atrybut użytkownika LDAP w którym przechowywany będzie identyfikator tożsamości PASK.

    3. Następnie atrybut LDAP musi zostać zmapowany w PASK Keycloak w ramach skonfigurowanego User Federation, do atrybutu usera Keycloak o nazwie identityId_FromLDAP. Poniżej opisano kroki realizacji mapowania. UWAGA! Opis zakłada (przykładowo), że na serwerze domenowym LDAP jest skonfigurowany atrybut o nazwie paskId, który wykorzystywany jest do mapowania. W konkretnym rozwiązaniu ta nazwa może być inna .

      1. PASK - Konfiguracja tworzenia kont w konektorze AD wykorzystywanym w procesie tworzenia kont użytkowników LDAP. Ustawienie reguły dla atrybutu o nazwie paskId na wartość Identyfikator PASK

      2. PASK Keycloak - Dodaniemappera typu user-attribute-ldap-mapper w skonfigurowanym UserFederation, mapujący atrybut LDAP paskId na atrybut Keycloak identityId_FromLDAP.

...

Info

Zarządzanie KeyCloak -użytkownik lokalny

  • Osobny Zasób - dodanie Roli Manage Realm (administrator)

\uD83D\uDCCB Dodatkowe informacje

Konektor Keycloak - konfiguracja automatycznego provisioningu uprawnień w PASK