Skip to main content

KeyCloak LDAP

caution
  • Sync 在 KC 添加的用户不会同步到 LDAP
    • registration 可以
  • 导入属性 - 不可修改
    • LDAP_ENTRY_DN
    • LDAP_ID
    • modifyTimestamp
    • createTimestamp
  • 修改密码开启后可同步
    • 虽然 KC 后台看到是 No credentials
  • 映射
    • Users
    • Groups
      • Mapped Group Attributes - 可映射额外属性
        • displayName,description
    • Roles
      • 没有额外属性可映射

group-ldap-mapper

  • 分组映射
  • 注意
    • 不能有同名组,会导致无法同步回 Keycloak
    • LDAP 无法识别同名组
选项翻译说明
LDAP Groups DN分组 DN例如 ou=groups,dc=wener,dc=me
Group Name LDAP AttributeLDAP 属性 -> 分组名字
Group Object Classes对象类groupOfNames groups
Preserve Group Inheritance保留层级如果不保留,则同步后都是顶级
如果保留,存在相同名字分组会导致同步异常
Ignore Missing Groups忽略缺少分组
Membership LDAP Attribute表示成员的 LDAP 属性例如 member
Membership Attribute Type成员属性类型DN UID
Membership User LDAP Attribute成员用户 LDAP 属性UID 模式则使用该字段表示,一般为 uid
LDAP Filter过滤条件
Mode模式LDAP_ONLY,IMPORT,READ_ONLY
User Groups Retrieve Strategy查询策略
Member-Of LDAP AttributememberOf 属性
Mapped Group Attributes映射属性例如 description,ou,o
Drop non-existing groups during sync同步删除不存在分组LDAP 到 Keycloak 时候