SSSD-IDP(5) Filformat och konventioner SSSD-IDP(5)

sssd-idp - SSSD IdP-leverantör

Denna manual beskriver konfigurationen av IdP-leverantören för sssd(8). För en detaljerad syntaxreferens, se avsnittet “FILFORMAT” i manualen för sssd.conf(5).

IdP-leverantören är en bakände som används för att ansluta till en OAuth 2.0- och REST-baserad identitetsleverantör (IdP). Eftersom produkter kan ha individuell implementering av REST API för att söka efter användar- och gruppattribut kan särskild kod krävas. Se alternativet “idp_type” för mer information.

IdP:er tillhandahåller vanligtvis inte POSIX-attribut som t.ex. användar-ID (UID) eller hemkatalog. SSSD:s IdP-leverantör genererar automatiskt de attribut som behövs. Standardalgoritmen för att generera användar-ID (UID) och grupp-ID (GID) syftar till att skapa reproducerbara ID på olika system. En nackdel är att algoritmen kan tilldela samma ID till olika objekt, och endast det första som begärs via SSSD kommer att vara tillgängligt.

Se “DOMÄNSEKTIONER” i manualsidan sssd.conf(5) för detaljer om konfigurationen av en SSSD-domän.

idp_type (sträng)

Obligatoriskt alternativ som anger IdP-produkten. För närvarande stöds Entra ID (entra_id) och Keycloak (keycloak).

Depending on the IdP product additional platform specific options might follow the name separated by a colon (:). E.g. for Keycloak the base URI for the user and group REST API must be given. For Entra ID the base URI for the Microsoft Graph API can be given to use sovereign or government cloud endpoints instead of the default (https://graph.microsoft.com/v1.0). E.g. “entra_id:https://graph.microsoft.us/v1.0” for the US government cloud (GCC High).

Standard: Inte inställt (obligatoriskt)

idp_client_id (sträng)

ID för IdP-klienten som används av SSSD för att autentisera användare och som klient för att söka efter användar- och gruppattribut. Denna klient måste erbjuda enhetsauktorisering enligt RFC-8628 och måste ha behörighet att söka och läsa användar- och gruppattribut.

Standard: Inte inställt (obligatoriskt)

idp_client_secret (sträng)

Lösenord för IdP-klienten. Lösenordet krävs för id_provider. Om det endast används som auth_provider beror det på konfigurationen på serversidan om det krävs eller inte.

Standard: inte satt

idp_token_endpoint (sträng)

IdP-slutpunkt för att begära åtkomsttoken.

Standard: Inte inställt (obligatoriskt)

idp_device_auth_endpoint (sträng)

IdP-slutpunkt för enhetsauktorisering enligt RFC-8628. Detta krävs för användarautentisering.

Standard: inte satt

idp_userinfo_endpoint (sträng)

Slutpunkt för IdP-användarinformation för att begära användarattribut efter en lyckad autentisering av användaren. Krävs för autentisering.

Standard: inte satt

idp_id_scope (sträng)

Omfattning som krävs för att söka efter användar- och gruppattribut med REST API. Omfattningarna används av servern för att avgöra vilka attribut/anspråk som ska returneras till den som gör anropet.

Note: In previous versions of SSSD, this option was expected to already be URL-encoded.

Standard: inte satt

idp_auth_scope (sträng)

Omfattning som krävs vid autentisering. Omfattningarna används av servern för att avgöra vilka attribut/anspråk som ska returneras till den som anropar.

För närvarande används inte de tokens som returneras under användarautentisering för andra ändamål, varför det enda viktiga kravet är ämnesidentifieraren "sub", som används för att kontrollera om den autentiserade användaren är den som försöker logga in. Detta kan komma att ändras i framtiden.

Standard: inte satt

idp_request_timeout (heltal)

Tidsgräns i sekunder för en enskild begäran till IdP.

Standard: 10

idp_auto_refresh (boolean)

Refresh tokens automatically, after they have reached about half their lifetime.

Note: Scheduled token refreshes are not preserved across restarts of SSSD.

Standard: false

idmap_range_min (heltal)

Anger den nedre (inklusive) gränsen för intervallet av POSIX-ID som ska användas för att mappa IdP-användare och -grupper till POSIX-ID. Det är det första POSIX-ID som kan användas för mappningen.

Intervallet mellan “idmap_range_min” och “idmap_range_max” delas upp i mindre intervall med storleken “idmap_range_size” som kommer att användas av en enskild IdP-domän.

Standard: 200000

idmap_range_max (heltal)

Anger den övre (exklusiva) gränsen för intervallet av POSIX-ID som ska användas för att mappa IdP-användare och -grupper till POSIX-ID. Det är det första POSIX-ID som inte längre kommer att användas för POSIX-ID-mappning.

Standard: 2000200000

idmap_range_size (heltal)

Anger antalet POSIX-ID som är tillgängliga för en enskild IdP-domän.

Standard: 200000

[domain/entra_id]
id_provider = idp
idp_type = entra_id
idp_client_id = 12345678-abcd-0101-efef-ba9876543210
idp_client_secret = YOUR-CLIENT-SCERET
idp_token_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/token
idp_userinfo_endpoint = https://graph.microsoft.com/v1.0/me
idp_device_auth_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/devicecode
idp_id_scope = https://graph.microsoft.com/.default
idp_auth_scope = openid profile email
[domain/keycloak]
idp_type = keycloak:https://master.keycloak.test:8443/auth/admin/realms/master/
id_provider = idp
idp_client_id = myclient
idp_client_secret = DIN-KLIENTHEMLIGHET
idp_token_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/token
idp_userinfo_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/userinfo
idp_device_auth_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/auth/device
idp_id_scope = profile
idp_auth_scope = openid profile email

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

SSSD uppströms – https://github.com/SSSD/sssd/

04/27/2026 SSSD