'\" t .\" Title: sssd-idp .\" Author: SSSD uppströms \(en https://github.com/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/27/2026 .\" Manual: Filformat och konventioner .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-IDP" "5" "04/27/2026" "SSSD" "Filformat och konventioner" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-idp \- SSSD IdP\-leverantör .SH "BESKRIVNING" .PP Denna manual beskriver konfigurationen av IdP\-leverantören för \fBsssd\fR(8)\&. För en detaljerad syntaxreferens, se avsnittet \(lqFILFORMAT\(rq i manualen för \fBsssd.conf\fR(5)\&. .PP IdP\-leverantören är en bakände som används för att ansluta till en OAuth 2\&.0\- och REST\-baserad identitetsleverantör (IdP)\&. Eftersom produkter kan ha individuell implementering av REST API för att söka efter användar\- och gruppattribut kan särskild kod krävas\&. Se alternativet \(lqidp_type\(rq för mer information\&. .PP IdP:er tillhandahåller vanligtvis inte POSIX\-attribut som t\&.ex\&. användar\-ID (UID) eller hemkatalog\&. SSSD:s IdP\-leverantör genererar automatiskt de attribut som behövs\&. Standardalgoritmen för att generera användar\-ID (UID) och grupp\-ID (GID) syftar till att skapa reproducerbara ID på olika system\&. En nackdel är att algoritmen kan tilldela samma ID till olika objekt, och endast det första som begärs via SSSD kommer att vara tillgängligt\&. .SH "KONFIGURATIONSALTERNATIV" .PP Se \(lqDOMÄNSEKTIONER\(rq i manualsidan \fBsssd.conf\fR(5) för detaljer om konfigurationen av en SSSD\-domän\&. .PP idp_type (sträng) .RS 4 Obligatoriskt alternativ som anger IdP\-produkten\&. För närvarande stöds Entra ID (entra_id) och Keycloak (keycloak)\&. .sp Depending on the IdP product additional platform specific options might follow the name separated by a colon (:)\&. E\&.g\&. for Keycloak the base URI for the user and group REST API must be given\&. For Entra ID the base URI for the Microsoft Graph API can be given to use sovereign or government cloud endpoints instead of the default (https://graph\&.microsoft\&.com/v1\&.0)\&. E\&.g\&. \(lqentra_id:https://graph\&.microsoft\&.us/v1\&.0\(rq for the US government cloud (GCC High)\&. .sp Standard: Inte inställt (obligatoriskt) .RE .PP idp_client_id (sträng) .RS 4 ID för IdP\-klienten som används av SSSD för att autentisera användare och som klient för att söka efter användar\- och gruppattribut\&. Denna klient måste erbjuda enhetsauktorisering enligt RFC\-8628 och måste ha behörighet att söka och läsa användar\- och gruppattribut\&. .sp Standard: Inte inställt (obligatoriskt) .RE .PP idp_client_secret (sträng) .RS 4 Lösenord för IdP\-klienten\&. Lösenordet krävs för id_provider\&. Om det endast används som auth_provider beror det på konfigurationen på serversidan om det krävs eller inte\&. .sp Standard: inte satt .RE .PP idp_token_endpoint (sträng) .RS 4 IdP\-slutpunkt för att begära åtkomsttoken\&. .sp Standard: Inte inställt (obligatoriskt) .RE .PP idp_device_auth_endpoint (sträng) .RS 4 IdP\-slutpunkt för enhetsauktorisering enligt RFC\-8628\&. Detta krävs för användarautentisering\&. .sp Standard: inte satt .RE .PP idp_userinfo_endpoint (sträng) .RS 4 Slutpunkt för IdP\-användarinformation för att begära användarattribut efter en lyckad autentisering av användaren\&. Krävs för autentisering\&. .sp Standard: inte satt .RE .PP idp_id_scope (sträng) .RS 4 Omfattning som krävs för att söka efter användar\- och gruppattribut med REST API\&. Omfattningarna används av servern för att avgöra vilka attribut/anspråk som ska returneras till den som gör anropet\&. .sp Note: In previous versions of SSSD, this option was expected to already be URL\-encoded\&. .sp Standard: inte satt .RE .PP idp_auth_scope (sträng) .RS 4 Omfattning som krävs vid autentisering\&. Omfattningarna används av servern för att avgöra vilka attribut/anspråk som ska returneras till den som anropar\&. .sp För närvarande används inte de tokens som returneras under användarautentisering för andra ändamål, varför det enda viktiga kravet är ämnesidentifieraren "sub", som används för att kontrollera om den autentiserade användaren är den som försöker logga in\&. Detta kan komma att ändras i framtiden\&. .sp Standard: inte satt .RE .PP idp_request_timeout (heltal) .RS 4 Tidsgräns i sekunder för en enskild begäran till IdP\&. .sp Standard: 10 .RE .PP idp_auto_refresh (boolean) .RS 4 Refresh tokens automatically, after they have reached about half their lifetime\&. .sp Note: Scheduled token refreshes are not preserved across restarts of SSSD\&. .sp Standard: false .RE .PP idmap_range_min (heltal) .RS 4 Anger den nedre (inklusive) gränsen för intervallet av POSIX\-ID som ska användas för att mappa IdP\-användare och \-grupper till POSIX\-ID\&. Det är det första POSIX\-ID som kan användas för mappningen\&. .sp Intervallet mellan \(lqidmap_range_min\(rq och \(lqidmap_range_max\(rq delas upp i mindre intervall med storleken \(lqidmap_range_size\(rq som kommer att användas av en enskild IdP\-domän\&. .sp Standard: 200000 .RE .PP idmap_range_max (heltal) .RS 4 Anger den övre (exklusiva) gränsen för intervallet av POSIX\-ID som ska användas för att mappa IdP\-användare och \-grupper till POSIX\-ID\&. Det är det första POSIX\-ID som inte längre kommer att användas för POSIX\-ID\-mappning\&. .sp Standard: 2000200000 .RE .PP idmap_range_size (heltal) .RS 4 Anger antalet POSIX\-ID som är tillgängliga för en enskild IdP\-domän\&. .sp Standard: 200000 .RE .SH "EXEMPEL" .PP .if n \{\ .RS 4 .\} .nf [domain/entra_id] id_provider = idp idp_type = entra_id idp_client_id = 12345678\-abcd\-0101\-efef\-ba9876543210 idp_client_secret = YOUR\-CLIENT\-SCERET idp_token_endpoint = https://login\&.microsoftonline\&.com/TENNANT\-ID/oauth2/v2\&.0/token idp_userinfo_endpoint = https://graph\&.microsoft\&.com/v1\&.0/me idp_device_auth_endpoint = https://login\&.microsoftonline\&.com/TENNANT\-ID/oauth2/v2\&.0/devicecode idp_id_scope = https://graph\&.microsoft\&.com/\&.default idp_auth_scope = openid profile email .fi .if n \{\ .RE .\} .sp .sp .if n \{\ .RS 4 .\} .nf [domain/keycloak] idp_type = keycloak:https://master\&.keycloak\&.test:8443/auth/admin/realms/master/ id_provider = idp idp_client_id = myclient idp_client_secret = DIN\-KLIENTHEMLIGHET idp_token_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/token idp_userinfo_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/userinfo idp_device_auth_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/auth/device idp_id_scope = profile idp_auth_scope = openid profile email .fi .if n \{\ .RE .\} .sp .SH "SE ÄVEN" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-idp\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(1), \fBsss_ssh_knownhosts\fR(1), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBSSSD uppströms \(en https://github\&.com/SSSD/sssd/\fR