概要
Keycloakの応答をGitLabに偽装してMattermost(Team Edition)に対応させる場合、GitLabのユーザーIDに対応するクレームをMattermostに渡す必要がある。詳細はネタ元の下記記事を参照のこと。
同記事で言及されている通り、GitLabのユーザーID(GitLabのDB上では users.id )はユニークな数値であり、Keycloakに標準で用意されているユーザープロパティ・属性には適当なものがない。
とはいえKeycloakのユーザーIDはUUID(v4)形式、つまり128bitの数値なので、16進数の FFFFFFFF-FFFF-4FFF-FFFF-FFFFFFFFFFFF のフォーマットから10進数に変換するスクリプトマッパーを用意すれば専用のユーザー属性を追加することなく対応できる。
スクリプトマッパーの作成
JavaScript
KeycloakのユーザーIDはDB上では user_entity.id に格納されており、スクリプトマッパーからは user.getId() で取得できる。
今回は先頭の12桁を使用し、48bitの整数を得る。
parseInt(user.getId().split("-").join("").substr(0,12),16).toString();
toString() を行うのはKeycloakの仕様によるもの。出力時のフォーマットはクライアント設定で選べる(後述)。
jar
スクリプトマッパーをKeycloakの管理コンソール上で直接記述する機能もあるが大分前からdepricatedのため、jarファイルに固めて読み込ませる。
公式ドキュメントに従って keycloak-scripts.json にメタデータを記述する。例えば以下のようになる。
{
"mappers": [
{
"name": "UUID to INT48",
"fileName": "uuid-to-int48-mapper.js",
"description": "Convert Keycloak User ID (UUID v4) to 48-bit integer (16 digits) for Mattermost"
}
]
}
ファイルを規定の構造でzip圧縮し、拡張子を jar に変更する。
uuid-to-int48-mapper.jar
|-- META-INF
| `-- keycloak-scripts.json
`-- uuid-to-int48-mapper.js
書庫のルートにMETA-INFディレクトリとJSファイルが配置されるようにする。
Keycloakの設定
jarの配置
作成したjarファイルを standalone/deployments に配置する。
Keycloak公式Dockerイメージの場合は /opt/jboss/keycloak/standalone/deployments にマウントする。
JavaScriptプロバイダーの有効化
設定ファイル profile.properties でJavaScriptプロバイダー(スクリプトマッパーはこの機能の一部)を有効化する。
feature.scripts=enabled
設定ファイルは standalone/configuration/profile.properties に配置する。
Keycloak公式Dockerイメージの場合は /opt/jboss/keycloak/standalone/configuration/profile.properties としてマウントする。
上記手順を実施してKeycloakを起動すると、正常に読み込まれていれば「管理コンソール→サーバー情報→プロバイダー」に表示される。
クライアント設定
Mattermostのクライアント設定で作成したスクリプトマッパーをトークンクレーム名 id に割り当てる。型は long とする。
動作確認
最初の12桁 82286c9c2d4c を10進数に変換すると 143110132477260 。
Mattermostの users.authdata に同じ値が入っている。