У меня есть требование, когда у меня есть несколько разных доменов AD, которые могут иметь одного и того же пользователя, но с разными ролями, а именно:
Как видите, разные пользователи могут иметь разные роли в разных доменах AD, а также один и тот же пользователь может быть в разных доменах AD.
Мое требование: я должен иметь возможность входить в систему с разными доменами и тем же именем пользователя (может быть lab \ Sam или Field \ Sam), и, соответственно, я должен получить доступ к разным конечным точкам KeyCloak.
На данный момент я попытался создать несколько поставщиков федерации пользователей для каждого клиентского домена, но всякий раз, когда я пытаюсь синхронизировать пользователей, будет импортирован только другой, а общий не удастся со следующим предупреждением (если он уже импортирован из другого поставщика) -
14: 38: 03,928 WARN [org.keycloak.storage.ldap.LDAPStorageProviderFactory] (по умолчанию задача-100) Пользователь Sam не обновляется во время синхронизации, поскольку он уже существует в базе данных Keycloak, но не связан с поставщиком федерации. ldap-qa '
Ограничения, которые у меня есть - я не могу изменить поле имени пользователя, так как это имя, через которое пользователи будут пытаться войти в систему, я не могу просто добавить что-то в имена
В любом случае, я могу достичь требуемой функциональности с помощью некоторого обходного пути?