community.general.keycloak_user_federation 模块 – 通过 Keycloak API 管理 Keycloak 用户联合

注意

此模块是 community.general 集合 (版本 10.1.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.general

要在剧本中使用它,请指定: community.general.keycloak_user_federation

community.general 3.7.0 中的新增功能

概要

  • 此模块允许您通过 Keycloak REST API 添加、删除或修改 Keycloak 用户联合。它需要通过 OpenID Connect 访问 REST API;连接的用户和使用的客户端必须具有必要的访问权限。在默认的 Keycloak 安装中,admin-cli 和管理员用户都可以工作,单独的客户端定义(其范围根据您的需求进行调整)和具有预期角色的用户也可以工作。

  • 模块选项的名称是 Keycloak API 及其文档中找到的 camelCase 名称的 snake_case 版本,网址为 https://keycloak.java.net.cn/docs-api/20.0.2/rest-api/index.html

参数

参数

注释

auth_client_id

字符串

用于向 API 进行身份验证的 OpenID Connect client_id

默认值: "admin-cli"

auth_client_secret

字符串

auth_client_id 一起使用的客户端密钥(如果需要)。

auth_keycloak_url

别名:url

字符串 / 必需

Keycloak 实例的 URL。

auth_password

别名:password

字符串

用于 API 访问身份验证的密码。

auth_realm

字符串

用于 API 访问身份验证的 Keycloak realm 名称。

auth_username

别名:username

字符串

用于 API 访问身份验证的用户名。

bind_credential_update_mode

字符串

community.general 9.5.0 中新增

Keycloak 响应中会删除配置参数 config.bindCredential 的值。将删除的值与所需的值进行比较,始终评估为不相等。这意味着如果设置了此参数,则之前状态和所需状态永远不相等。

设置为 always 以在之前状态和所需状态的比较中包含 config.bindCredential。由于 Keycloak 返回的值已删除,因此如果设置了 config.bindCredential 值,模块将始终检测到更改并进行更新。

设置为 only_indirect 以在将之前状态与所需状态进行比较时排除 config.bindCredential。只有在对用户联合进行其他需要更新的更改时,才会更新 config.bindCredential 的值。

选项

  • "always" ← (默认)

  • "only_indirect"

配置

字典

指定提供程序配置选项的字典;内容取决于provider_id的值。下面给出了ldapkerberossssd的示例。通过在existing字段中使用检查模式转储已存在的用户联合配置,最容易获得有效的配置值。

自 community.general 4.2.0 版本起支持sssd值。

allowKerberosAuthentication

布尔值

启用/禁用使用 SPNEGO/Kerberos 令牌的用户 HTTP 身份验证。已验证用户的相关数据将从此 LDAP 服务器进行配置。

选项

  • false ← (默认)

  • true

allowPasswordAuthentication

布尔值

启用/禁用针对 Kerberos 数据库进行用户名/密码身份验证的可能性。

选项

  • false

  • true

authType

字符串

LDAP 绑定操作期间使用的身份验证方法的类型。它用于发送到 LDAP 服务器的大多数请求。

选项

  • "none" ← (默认)

  • "simple"

batchSizeForSync

整数

在单个事务中从 LDAP 导入到 Keycloak 的 LDAP 用户数量。

默认值: 1000

bindCredential

字符串

LDAP 管理员的密码。

bindDn

字符串

Keycloak 用于访问 LDAP 服务器的 LDAP 用户的 DN。

cachePolicy

字符串

此存储提供程序的缓存策略。

选项

  • "DEFAULT" ← (默认)

  • "EVICT_DAILY"

  • "EVICT_WEEKLY"

  • "MAX_LIFESPAN"

  • "NO_CACHE"

changedSyncPeriod

整数

以秒为单位同步更改或新创建的 LDAP 用户的周期。

默认值: -1

connectionPooling

布尔值

确定 Keycloak 是否应使用连接池来访问 LDAP 服务器。

选项

  • false

  • true ← (默认)

connectionPoolingAuthentication

字符串

以空格分隔的可以池化的连接身份验证类型的列表。

选项

  • "none"

  • "simple"

  • "DIGEST-MD5"

connectionPoolingDebug

字符串

指示要生成的调试输出级别的字符串。有效的示例值包括fine(跟踪连接创建和删除)和all(所有调试信息)。

connectionPoolingInitSize

整数

为身份最初创建连接时要创建的每个连接身份的连接数。

connectionPoolingMaxSize

整数

每个连接身份可以同时维护的最大连接数。

connectionPoolingPrefSize

整数

应同时维护的每个连接身份的首选连接数。

connectionPoolingProtocol

字符串

可以池化的连接协议类型的空格分隔列表。有效类型为plainssl

connectionPoolingTimeout

整数

空闲连接在关闭并从池中移除之前可以保留在池中的毫秒数。

connectionTimeout

整数

LDAP 连接超时时间(毫秒)。此超时适用于 LDAP 读取操作。

connectionUrl

字符串

到 LDAP 服务器的连接 URL。

customUserSearchFilter

字符串

用于过滤搜索用户的附加 LDAP 过滤器。如果不需要附加过滤器,请将其留空。

debug

布尔值

启用/禁用对 Krb5LoginModule 的标准输出调试日志记录。

选项

  • false

  • true

editMode

字符串

READ_ONLY 是只读 LDAP 存储。WRITABLE 表示数据将在需要时同步回 LDAP。UNSYNCED 表示将导入用户数据,但不会同步回 LDAP。

选项

  • "READ_ONLY"

  • "WRITABLE"

  • "UNSYNCED"

enabled

布尔值

启用/禁用此用户联合。

选项

  • false

  • true ← (默认)

evictionDay

字符串

条目将在其上失效的星期几。

evictionHour

字符串

条目将在其上失效的一天中的小时。

evictionMinute

字符串

条目将在其上失效的一天中的分钟。

fullSyncPeriod

整数

完全同步的周期(秒)。

默认值: -1

importEnabled

布尔值

如果为true,则 LDAP 用户将被导入到 Keycloak 数据库中,并由配置的同步策略进行同步。

选项

  • false

  • true ← (默认)

kerberosRealm

字符串

Kerberos 领域的名称。

keyTab

字符串

包含服务器主体凭据的 Kerberos KeyTab 文件的位置。例如/etc/krb5.keytab

krbPrincipalAttribute

字符串

在 community.general 8.1.0 中添加

引用 Kerberos 主体的 LDAP 属性的名称。这用于在 Keycloak 中成功进行 Kerberos/SPNEGO 身份验证后查找相应的 LDAP 用户。如果为空,则将根据与 Kerberos 主体第一部分相对应的 LDAP 用户名查找 LDAP 用户。例如,对于主体john@KEYCLOAK.ORG,它将假设 LDAP 用户名是john

maxLifespan

整数

缓存条目最长生命周期(毫秒)。

pagination

布尔值

LDAP 服务器是否支持分页。

选项

  • false

  • true ← (默认)

priority

整数

执行用户查找时提供程序的优先级。数值越低,优先级越高。

默认值: 0

rdnLDAPAttribute

字符串

用作典型用户 DN 的 RDN(顶部属性)的 LDAP 属性的名称。通常它与用户名 LDAP 属性相同,但不是必需的。例如,对于 Active Directory,当用户名属性可能是sAMAccountName时,通常使用cn作为 RDN 属性。

readTimeout

整数

LDAP 读取超时时间(毫秒)。此超时适用于 LDAP 读取操作。

referral

字符串

community.general 9.5.0 中新增

指定是否应遵循或忽略 LDAP 转发。请注意,启用转发可能会降低身份验证速度,因为它允许 LDAP 服务器决定要使用哪些其他 LDAP 服务器。这可能包括不受信任的服务器。

选项

  • "ignore"

  • "follow"

searchScope

字符串

对于一级搜索,搜索仅适用于用户 DN 指定的 DN 中的用户。对于子树,搜索适用于整个子树。有关更多详细信息,请参阅 LDAP 文档。

选项

  • "1" ← (默认)

  • "2"

serverPrincipal

字符串

HTTP 服务的服务器主体的全名,包括服务器和域名。例如HTTP/host.foo.org@FOO.ORG。使用*接受 KeyTab 文件中的任何服务主体。

startTls

布尔值

使用 STARTTLS 加密与 LDAP 的连接,这将禁用连接池。

选项

  • false ← (默认)

  • true

syncRegistrations

布尔值

是否应在 LDAP 存储中创建新创建的用户?优先级会影响选择哪个提供程序来同步新用户。

选项

  • false ← (默认)

  • true

trustEmail

布尔值

如果启用,即使为领域启用了验证,此提供程序提供的电子邮件也不会被验证。

选项

  • false ← (默认)

  • true

updateProfileFirstLogin

布尔值

首次登录时更新配置文件。

选项

  • false

  • true

useKerberosForPasswordAuthentication

布尔值

使用 Kerberos 登录模块对 Kerberos 服务器进行用户名/密码身份验证,而不是使用目录服务 API 对 LDAP 服务器进行身份验证。

选项

  • false ← (默认)

  • true

usePasswordModifyExtendedOp

布尔值

使用 LDAPv3 密码修改扩展操作 (RFC-3062)。密码修改扩展操作通常要求 LDAP 用户已经在 LDAP 服务器中拥有密码。因此,当将其与“同步注册”一起使用时,最好也添加具有随机生成的初始密码的“硬编码 LDAP 属性映射器”。

选项

  • false ← (默认)

  • true

usernameLDAPAttribute

字符串

映射为 Keycloak 用户名的 LDAP 属性的名称。对于许多 LDAP 服务器供应商来说,它可以是uid。对于 Active Directory,它可以是sAMAccountNamecn。对于要从 LDAP 导入到 Keycloak 的所有 LDAP 用户记录,都应填写此属性。

userObjectClasses

字符串

LDAP 中用户的 LDAP objectClass 属性的所有值,用逗号分隔。例如inetOrgPerson, organizationalPerson。新创建的 Keycloak 用户将使用所有这些 objectClass 写入 LDAP,并且只有当现有 LDAP 用户记录包含所有这些 objectClass 时才会找到它们。

usersDn

字符串

LDAP 树中用户的完整 DN。此 DN 是 LDAP 用户的父级。

useTruststoreSpi

字符串

指定 LDAP 连接是否将使用在 standalone.xml/domain.xml 中配置的 truststore 的 truststore SPI。always 表示它将始终使用它。never 表示它不会使用它。ldapsOnly 表示如果连接 URL 使用 ldaps,则将使用它。请注意,即使未配置 standalone.xml/domain.xml,也将在javax.net.ssl.trustStore属性中使用默认的 Java cacerts 或指定的证书。

选项

  • "always"

  • "ldapsOnly" ← (默认)

  • "never"

uuidLDAPAttribute

字符串

LDAP 属性名称,用作 LDAP 对象的唯一对象标识符 (UUID)。对于许多 LDAP 服务器供应商来说,它是 entryUUID;但是有些不同。例如,对于 Active Directory,它应该是 objectGUID。如果您的 LDAP 服务器不支持 UUID 的概念,您可以使用任何其他属性,该属性应该在树中的 LDAP 用户之间是唯一的。

validatePasswordPolicy

布尔值

确定 Keycloak 是否应在更新密码之前使用领域密码策略验证密码。

选项

  • false ← (默认)

  • true

vendor

字符串

LDAP 供应商(提供商)。

使用简短名称。例如,为“Red Hat Directory Server”编写 rhds

connection_timeout

整数

community.general 4.5.0 版本中添加

控制与 Keycloak API 的 HTTP 连接超时时间(以秒为单位)。

默认值: 10

http_agent

字符串

community.general 5.4.0 版本中添加

配置 HTTP User-Agent 头。

默认值: "Ansible"

id

字符串

此用户联合体的唯一 ID。如果留空,则将通过其 name 搜索用户联合体。

mappers

列表 / 元素=字典

定义与此身份提供程序关联的映射器的字典列表。

配置

字典

指定映射器配置选项的字典;内容取决于identityProviderMapper的值。

id

字符串

此映射器的唯一 ID。

name

字符串

映射器的名称。如果没有给出 ID,则将按名称搜索映射器。

parentId

字符串

此映射器父级的唯一 ID。如果留空,将自动使用用户联合体的 ID。

providerId

字符串

此映射器的映射器类型(例如 user-attribute-ldap-mapper)。

providerType

字符串

此映射器的组件类型。

默认值: "org.keycloak.storage.ldap.mappers.LDAPStorageMapper"

name

字符串

在管理员控制台中链接时提供程序的显示名称。

parent_id

别名:parentId

字符串

此用户联合体父级的唯一 ID。如果留空,将自动使用 Realm ID。

provider_id

别名:providerId

字符串

此用户联合体的提供程序。内置提供程序为 ldapkerberossssd。也可以使用自定义用户存储提供程序。

provider_type

别名:providerType

字符串

用户联合体的组件类型(仅支持的值为 org.keycloak.storage.UserStorageProvider)。

默认值: "org.keycloak.storage.UserStorageProvider"

realm

字符串

此用户联合体所在的 Keycloak Realm。

默认值: "master"

remove_unspecified_mappers

布尔值

community.general 9.4.0 版本中添加

删除此联合体的配置中未指定的映射器。

设置为 false 以保留 mappers 中未列出的映射器。

选项

  • false

  • true ← (默认)

state

字符串

用户联合体的状态。

present 状态下,如果用户联合体尚不存在,则会创建它;或者使用您提供的参数进行更新。

absent 状态下,如果用户联合体存在,则将其删除。

选项

  • "present" ← (默认)

  • "absent"

token

字符串

community.general 3.0.0 版本中添加

Keycloak API 的身份验证令牌。

validate_certs

布尔值

验证 TLS 证书(不要在生产环境中禁用此选项)。

选项

  • false

  • true ← (默认)

属性

属性

支持

描述

check_mode

支持:完全支持

可以在 check_mode 下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:完全支持

在差异模式下,将返回有关已更改内容(或可能需要在 check_mode 下更改的内容)的详细信息。

示例

- name: Create LDAP user federation
  community.general.keycloak_user_federation:
    auth_keycloak_url: https://keycloak.example.com/auth
    auth_realm: master
    auth_username: admin
    auth_password: password
    realm: my-realm
    name: my-ldap
    state: present
    provider_id: ldap
    provider_type: org.keycloak.storage.UserStorageProvider
    config:
      priority: 0
      enabled: true
      cachePolicy: DEFAULT
      batchSizeForSync: 1000
      editMode: READ_ONLY
      importEnabled: true
      syncRegistrations: false
      vendor: other
      usernameLDAPAttribute: uid
      rdnLDAPAttribute: uid
      uuidLDAPAttribute: entryUUID
      userObjectClasses: inetOrgPerson, organizationalPerson
      connectionUrl: ldaps://ldap.example.com:636
      usersDn: ou=Users,dc=example,dc=com
      authType: simple
      bindDn: cn=directory reader
      bindCredential: password
      searchScope: 1
      validatePasswordPolicy: false
      trustEmail: false
      useTruststoreSpi: ldapsOnly
      connectionPooling: true
      pagination: true
      allowKerberosAuthentication: false
      debug: false
      useKerberosForPasswordAuthentication: false
    mappers:
      - name: "full name"
        providerId: "full-name-ldap-mapper"
        providerType: "org.keycloak.storage.ldap.mappers.LDAPStorageMapper"
        config:
          ldap.full.name.attribute: cn
          read.only: true
          write.only: false

- name: Create Kerberos user federation
  community.general.keycloak_user_federation:
    auth_keycloak_url: https://keycloak.example.com/auth
    auth_realm: master
    auth_username: admin
    auth_password: password
    realm: my-realm
    name: my-kerberos
    state: present
    provider_id: kerberos
    provider_type: org.keycloak.storage.UserStorageProvider
    config:
      priority: 0
      enabled: true
      cachePolicy: DEFAULT
      kerberosRealm: EXAMPLE.COM
      serverPrincipal: HTTP/host.example.com@EXAMPLE.COM
      keyTab: keytab
      allowPasswordAuthentication: false
      updateProfileFirstLogin: false

- name: Create sssd user federation
  community.general.keycloak_user_federation:
    auth_keycloak_url: https://keycloak.example.com/auth
    auth_realm: master
    auth_username: admin
    auth_password: password
    realm: my-realm
    name: my-sssd
    state: present
    provider_id: sssd
    provider_type: org.keycloak.storage.UserStorageProvider
    config:
      priority: 0
      enabled: true
      cachePolicy: DEFAULT

- name: Delete user federation
  community.general.keycloak_user_federation:
    auth_keycloak_url: https://keycloak.example.com/auth
    auth_realm: master
    auth_username: admin
    auth_password: password
    realm: my-realm
    name: my-federation
    state: absent

返回值

常见的返回值已在此处记录 此处,以下是此模块特有的字段

描述

end_state

字典

模块执行后用户联合体的表示。

返回:成功时

示例: {"config": {"allowPasswordAuthentication": "false", "cachePolicy": "DEFAULT", "enabled": "true", "kerberosRealm": "EXAMPLE.COM", "keyTab": "/etc/krb5.keytab", "priority": "0", "serverPrincipal": "HTTP/host.example.com@EXAMPLE.COM", "updateProfileFirstLogin": "false"}, "id": "cf52ae4f-4471-4435-a0cf-bb620cadc122", "mappers": [], "name": "kerberos", "parentId": "myrealm", "providerId": "kerberos", "providerType": "org.keycloak.storage.UserStorageProvider"}

existing

字典

现有用户联合体的表示。

返回:始终返回

示例: {"config": {"allowKerberosAuthentication": "false", "authType": "simple", "batchSizeForSync": "1000", "bindCredential": "**********", "bindDn": "cn=directory reader", "cachePolicy": "DEFAULT", "changedSyncPeriod": "-1", "connectionPooling": "true", "connectionUrl": "ldaps://ldap.example.com:636", "debug": "false", "editMode": "READ_ONLY", "enabled": "true", "fullSyncPeriod": "-1", "importEnabled": "true", "pagination": "true", "priority": "0", "rdnLDAPAttribute": "uid", "searchScope": "1", "syncRegistrations": "false", "trustEmail": "false", "useKerberosForPasswordAuthentication": "false", "useTruststoreSpi": "ldapsOnly", "userObjectClasses": "inetOrgPerson, organizationalPerson", "usernameLDAPAttribute": "uid", "usersDn": "ou=Users,dc=example,dc=com", "uuidLDAPAttribute": "entryUUID", "validatePasswordPolicy": "false", "vendor": "other"}, "id": "01122837-9047-4ae4-8ca0-6e2e891a765f", "mappers": [{"config": {"always.read.value.from.ldap": "false", "is.mandatory.in.ldap": "false", "ldap.attribute": "mail", "read.only": "true", "user.model.attribute": "email"}, "id": "17d60ce2-2d44-4c2c-8b1f-1fba601b9a9f", "name": "email", "parentId": "01122837-9047-4ae4-8ca0-6e2e891a765f", "providerId": "user-attribute-ldap-mapper", "providerType": "org.keycloak.storage.ldap.mappers.LDAPStorageMapper"}], "name": "myfed", "parentId": "myrealm", "providerId": "ldap", "providerType": "org.keycloak.storage.UserStorageProvider"}

msg

字符串

关于采取了什么操作的消息。

返回:始终返回

示例: "No changes required to user federation 164bb483-c613-482e-80fe-7f1431308799."

proposed

字典

建议的用户联合体的表示。

返回:始终返回

示例: {"config": {"allowKerberosAuthentication": "false", "authType": "simple", "batchSizeForSync": "1000", "bindCredential": "**********", "bindDn": "cn=directory reader", "cachePolicy": "DEFAULT", "connectionPooling": "true", "connectionUrl": "ldaps://ldap.example.com:636", "debug": "false", "editMode": "READ_ONLY", "enabled": "true", "importEnabled": "true", "pagination": "true", "priority": "0", "rdnLDAPAttribute": "uid", "searchScope": "1", "syncRegistrations": "false", "trustEmail": "false", "useKerberosForPasswordAuthentication": "false", "useTruststoreSpi": "ldapsOnly", "userObjectClasses": "inetOrgPerson, organizationalPerson", "usernameLDAPAttribute": "uid", "usersDn": "ou=Users,dc=example,dc=com", "uuidLDAPAttribute": "entryUUID", "validatePasswordPolicy": "false", "vendor": "other"}, "name": "ldap", "providerId": "ldap", "providerType": "org.keycloak.storage.UserStorageProvider"}

作者

  • Laurent Paumier (@laurpaum)