'\" t .\" Title: sssd-idp .\" Author: Основна гілка розробки SSSD \(em https://pagure.io/SSSD/sssd/ .\" Generator: DocBook XSL Stylesheets vsnapshot .\" Date: 04/27/2026 .\" Manual: Формати файлів та правила .\" Source: SSSD .\" Language: English .\" .TH "SSSD\-IDP" "5" "04/27/2026" "SSSD" "Формати файлів та правила" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "NAME" sssd-idp \- Модуль надання даних IdP SSSD .SH "ОПИС" .PP На цій сторінці довідника описано налаштування засобу керування доступом IdP для \fBsssd\fR(8)\&. Щоб дізнатися більше про синтаксис налаштування, зверніться до розділу \(FoФОРМАТ ФАЙЛІВ\(Fc сторінки довідника \fBsssd.conf\fR(5)\&. .PP Надавач даних (IdP) \(en це модуль, який використовують для встановлення з\*(Aqєднання з надавачем ідентифікаційних даних (IdP) на основі OAuth 2\&.0 та REST\&. Оскільки продукти можуть мати окрему реалізацію програмного інтерфейсу REST для пошуку атрибутів користувачів та груп, може знадобитися спеціальний код, див\&. подробиці щодо параметра \(lqidp_type\(rq\&. .PP Надавачі ідентифікаторів (IdP) зазвичай не надають атрибутів POSIX, таких як ідентифікатор користувача (UID) або домашній каталог\&. Постачальник IdP SSSD автоматично породжуватиме необхідні атрибути\&. Типовий алгоритм для породження ідентифікаторів користувачів (UID) та ідентифікаторів груп (GID) спрямований на створення відтворюваних ідентифікаторів на різних системах\&. Недолік може полягати у тому, що алгоритм призначає один і той самий ідентифікатор різним об\*(Aqєктам, і доступним буде лише перший, серез запитаних за допомогою SSSD\&. .SH "ПАРАМЕТРИ НАЛАШТУВАННЯ" .PP Зверніться до розділу \(FoРОЗДІЛИ ДОМЕНІВ\(Fc сторінки довідника (man) \fBsssd.conf\fR(5), щоб дізнатися більше про налаштування домену SSSD\&. .PP idp_type (рядок) .RS 4 Обов\*(Aqязковий параметр, який вказує продукт IdP\&. У поточній версії передбачено підтримку Entra ID (entra_id) і Keycloak (keycloak)\&. .sp Depending on the IdP product additional platform specific options might follow the name separated by a colon (:)\&. E\&.g\&. for Keycloak the base URI for the user and group REST API must be given\&. For Entra ID the base URI for the Microsoft Graph API can be given to use sovereign or government cloud endpoints instead of the default (https://graph\&.microsoft\&.com/v1\&.0)\&. E\&.g\&. \(lqentra_id:https://graph\&.microsoft\&.us/v1\&.0\(rq for the US government cloud (GCC High)\&. .sp Типове значення: не встановлено (обов\*(Aqязкове) .RE .PP idp_client_id (рядок) .RS 4 Ідентифікатор клієнта IdP, який використовується SSSD для розпізнавання користувачів та як клієнт для пошуку атрибутів користувачів і груп\&. Цей клієнт повинен пропонувати уповноваження пристрою відповідно до RFC\-8628 і повинен мати дозволи на пошук і читання атрибутів користувачів і груп\&. .sp Типове значення: не встановлено (обов\*(Aqязкове) .RE .PP idp_client_secret (рядок) .RS 4 Пароль клієнта IdP\&. Пароль потрібен для id_provider\&. Те, чи потрібен він, якщо відбувається використання лише як auth_provider, залежить від налаштувань сервера\&. .sp Типове значення: не встановлено .RE .PP idp_token_endpoint (рядок) .RS 4 Кінцева точки IdP для запиту щодо жетоні доступу\&. .sp Типове значення: не встановлено (обов\*(Aqязкове) .RE .PP idp_device_auth_endpoint (рядок) .RS 4 Кінцева точка IdP для уповноваження пристрою відповідно до RFC\-8628\&. Це необхідно для розпізнавання користувача\&. .sp Типове значення: не встановлено .RE .PP idp_userinfo_endpoint (рядок) .RS 4 Кінцева точка IdP userinfo для запиту атрибутів користувача після успішного розпізнавання користувача\&. Обов\*(Aqязкова для розпізнавання\&. .sp Типове значення: не встановлено .RE .PP idp_id_scope (рядок) .RS 4 Область, необхідна для пошуку атрибутів користувачів та груп за допомогою програманого інтерфейсу REST\&. Області використовуються сервером для визначення того, які атрибути/інструкції слід повертати стороні, з боку якої відбувся виклик\&. .sp Note: In previous versions of SSSD, this option was expected to already be URL\-encoded\&. .sp Типове значення: не встановлено .RE .PP idp_auth_scope (рядок) .RS 4 Область дії, необхідна під час розпізнавання\&. Області дії використовується сервером для визначення того, які атрибути/інструкції буде повернуто процесу, яким було здійснено виклик\&. .sp У поточній версії жетони, що повертаються під час розпізнавання користувача, не використовуються з іншою метою, тому єдиною важливою інструкцією є ідентифікатор теми \(Fosub\(Fc, який використовується для перевірки, чи є розпізнаний користувач саме тим, хто намагається увійти\&. Це може змінитися у майбутніх версіях\&. .sp Типове значення: не встановлено .RE .PP idp_request_timeout (ціле число) .RS 4 Час очікування на відповідь у секундах для окремого запиту до IdP\&. .sp Типове значення: 10 .RE .PP idp_auto_refresh (boolean) .RS 4 Refresh tokens automatically, after they have reached about half their lifetime\&. .sp Note: Scheduled token refreshes are not preserved across restarts of SSSD\&. .sp Типове значення: false .RE .PP idmap_range_min (ціле число) .RS 4 Визначає нижню (включну) межу діапазону ідентифікаторів POSIX, які слід використовувати для встановлення відповідності груп ID POSIX користувачів і користувачів IdP\&. Це перший ідентифікатор POSIX, яким можна скористатися для прив\*(Aqязки\&. .sp The interval between \(lqidmap_range_min\(rq and \(lqidmap_range_max\(rq will be split into smaller ranges of size \(lqidmap_range_size\(rq which will be used by an individual IdP domain\&. .sp Типове значення: 200000 .RE .PP idmap_range_max (ціле число) .RS 4 Визначає верхню (виключну) межу діапазону ідентифікаторів POSIX, які слід використовувати для встановлення відповідності груп ID POSIX користувачів і груп IdP\&. Це перший ідентифікатор POSIX, який після цього не буде використано для прив\*(Aqязки до ID POSIX\&. .sp Типове значення: 2000200000 .RE .PP idmap_range_size (ціле число) .RS 4 Визначає кількість ідентифікаторів POSIX, які є доступними для окремого домену IdP\&. .sp Типове значення: 200000 .RE .SH "ПРИКЛАД" .PP .if n \{\ .RS 4 .\} .nf [domain/entra_id] id_provider = idp idp_type = entra_id idp_client_id = 12345678\-abcd\-0101\-efef\-ba9876543210 idp_client_secret = YOUR\-CLIENT\-SCERET idp_token_endpoint = https://login\&.microsoftonline\&.com/TENNANT\-ID/oauth2/v2\&.0/token idp_userinfo_endpoint = https://graph\&.microsoft\&.com/v1\&.0/me idp_device_auth_endpoint = https://login\&.microsoftonline\&.com/TENNANT\-ID/oauth2/v2\&.0/devicecode idp_id_scope = https://graph\&.microsoft\&.com/\&.default idp_auth_scope = openid profile email .fi .if n \{\ .RE .\} .sp .sp .if n \{\ .RS 4 .\} .nf [domain/keycloak] idp_type = keycloak:https://master\&.keycloak\&.test:8443/auth/admin/realms/master/ id_provider = idp idp_client_id = myclient idp_client_secret = YOUR\-CLIENT\-SCERET idp_token_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/token idp_userinfo_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/userinfo idp_device_auth_endpoint = https://master\&.keycloak\&.test:8443/auth/realms/master/protocol/openid\-connect/auth/device idp_id_scope = profile idp_auth_scope = openid profile email .fi .if n \{\ .RE .\} .sp .SH "ТАКОЖ ПЕРЕГЛЯНЬТЕ" .PP \fBsssd\fR(8), \fBsssd.conf\fR(5), \fBsssd-ldap\fR(5), \fBsssd-ldap-attributes\fR(5), \fBsssd-krb5\fR(5), \fBsssd-simple\fR(5), \fBsssd-ipa\fR(5), \fBsssd-ad\fR(5), \fBsssd-idp\fR(5), \fBsssd-sudo\fR(5), \fBsssd-session-recording\fR(5), \fBsss_cache\fR(8), \fBsss_debuglevel\fR(8), \fBsss_obfuscate\fR(8), \fBsss_seed\fR(8), \fBsssd_krb5_locator_plugin\fR(8), \fBsss_ssh_authorizedkeys\fR(1), \fBsss_ssh_knownhosts\fR(1), \fBsssd-ifp\fR(5), \fBpam_sss\fR(8)\&. \fBsss_rpcidmapd\fR(5) .SH "AUTHORS" .PP \fBОсновна гілка розробки SSSD \(em https://pagure\&.io/SSSD/sssd/\fR