SSSD-IDP(5) Filformat och konventioner SSSD-IDP(5) NAME sssd-idp - SSSD IdP-leverantor BESKRIVNING Denna manual beskriver konfigurationen av IdP-leverantoren for sssd(8). For en detaljerad syntaxreferens, se avsnittet "FILFORMAT" i manualen for sssd.conf(5). IdP-leverantoren ar en bakande som anvands for att ansluta till en OAuth 2.0- och REST-baserad identitetsleverantor (IdP). Eftersom produkter kan ha individuell implementering av REST API for att soka efter anvandar- och gruppattribut kan sarskild kod kravas. Se alternativet "idp_type" for mer information. IdP:er tillhandahaller vanligtvis inte POSIX-attribut som t.ex. anvandar-ID (UID) eller hemkatalog. SSSD:s IdP-leverantor genererar automatiskt de attribut som behovs. Standardalgoritmen for att generera anvandar-ID (UID) och grupp-ID (GID) syftar till att skapa reproducerbara ID pa olika system. En nackdel ar att algoritmen kan tilldela samma ID till olika objekt, och endast det forsta som begars via SSSD kommer att vara tillgangligt. KONFIGURATIONSALTERNATIV Se "DOMANSEKTIONER" i manualsidan sssd.conf(5) for detaljer om konfigurationen av en SSSD-doman. idp_type (strang) Obligatoriskt alternativ som anger IdP-produkten. For narvarande stods Entra ID (entra_id) och Keycloak (keycloak). Depending on the IdP product additional platform specific options might follow the name separated by a colon (:). E.g. for Keycloak the base URI for the user and group REST API must be given. For Entra ID the base URI for the Microsoft Graph API can be given to use sovereign or government cloud endpoints instead of the default (https://graph.microsoft.com/v1.0). E.g. "entra_id:https://graph.microsoft.us/v1.0" for the US government cloud (GCC High). Standard: Inte installt (obligatoriskt) idp_client_id (strang) ID for IdP-klienten som anvands av SSSD for att autentisera anvandare och som klient for att soka efter anvandar- och gruppattribut. Denna klient maste erbjuda enhetsauktorisering enligt RFC-8628 och maste ha behorighet att soka och lasa anvandar- och gruppattribut. Standard: Inte installt (obligatoriskt) idp_client_secret (strang) Losenord for IdP-klienten. Losenordet kravs for id_provider. Om det endast anvands som auth_provider beror det pa konfigurationen pa serversidan om det kravs eller inte. Standard: inte satt idp_token_endpoint (strang) IdP-slutpunkt for att begara atkomsttoken. Standard: Inte installt (obligatoriskt) idp_device_auth_endpoint (strang) IdP-slutpunkt for enhetsauktorisering enligt RFC-8628. Detta kravs for anvandarautentisering. Standard: inte satt idp_userinfo_endpoint (strang) Slutpunkt for IdP-anvandarinformation for att begara anvandarattribut efter en lyckad autentisering av anvandaren. Kravs for autentisering. Standard: inte satt idp_id_scope (strang) Omfattning som kravs for att soka efter anvandar- och gruppattribut med REST API. Omfattningarna anvands av servern for att avgora vilka attribut/ansprak som ska returneras till den som gor anropet. Note: In previous versions of SSSD, this option was expected to already be URL-encoded. Standard: inte satt idp_auth_scope (strang) Omfattning som kravs vid autentisering. Omfattningarna anvands av servern for att avgora vilka attribut/ansprak som ska returneras till den som anropar. For narvarande anvands inte de tokens som returneras under anvandarautentisering for andra andamal, varfor det enda viktiga kravet ar amnesidentifieraren "sub", som anvands for att kontrollera om den autentiserade anvandaren ar den som forsoker logga in. Detta kan komma att andras i framtiden. Standard: inte satt idp_request_timeout (heltal) Tidsgrans i sekunder for en enskild begaran till IdP. Standard: 10 idp_auto_refresh (boolean) Refresh tokens automatically, after they have reached about half their lifetime. Note: Scheduled token refreshes are not preserved across restarts of SSSD. Standard: false idmap_range_min (heltal) Anger den nedre (inklusive) gransen for intervallet av POSIX-ID som ska anvandas for att mappa IdP-anvandare och -grupper till POSIX-ID. Det ar det forsta POSIX-ID som kan anvandas for mappningen. Intervallet mellan "idmap_range_min" och "idmap_range_max" delas upp i mindre intervall med storleken "idmap_range_size" som kommer att anvandas av en enskild IdP-doman. Standard: 200000 idmap_range_max (heltal) Anger den ovre (exklusiva) gransen for intervallet av POSIX-ID som ska anvandas for att mappa IdP-anvandare och -grupper till POSIX-ID. Det ar det forsta POSIX-ID som inte langre kommer att anvandas for POSIX-ID-mappning. Standard: 2000200000 idmap_range_size (heltal) Anger antalet POSIX-ID som ar tillgangliga for en enskild IdP-doman. Standard: 200000 EXEMPEL [domain/entra_id] id_provider = idp idp_type = entra_id idp_client_id = 12345678-abcd-0101-efef-ba9876543210 idp_client_secret = YOUR-CLIENT-SCERET idp_token_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/token idp_userinfo_endpoint = https://graph.microsoft.com/v1.0/me idp_device_auth_endpoint = https://login.microsoftonline.com/TENNANT-ID/oauth2/v2.0/devicecode idp_id_scope = https://graph.microsoft.com/.default idp_auth_scope = openid profile email [domain/keycloak] idp_type = keycloak:https://master.keycloak.test:8443/auth/admin/realms/master/ id_provider = idp idp_client_id = myclient idp_client_secret = DIN-KLIENTHEMLIGHET idp_token_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/token idp_userinfo_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/userinfo idp_device_auth_endpoint = https://master.keycloak.test:8443/auth/realms/master/protocol/openid-connect/auth/device idp_id_scope = profile idp_auth_scope = openid profile email SE AVEN sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd- krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-idp(5), sssd- sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(1), sss_ssh_knownhosts(1), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5) AUTHORS SSSD uppstroms - https://github.com/SSSD/sssd/ SSSD 04/27/2026 SSSD-IDP(5)