Почему в keycloak ldap обнуляет пользователей?

Question

[ezmoow]

Есть у нас система для документооборота, полномочия и авторизация к ней предоставляется через keycloak. В keycloak настроены федерации через ldap


Всё это дело настраивал подрядчик.
Не так давно, решили мы мигрировать пользователей в новый домен, и в этих федерациях пути к группам соответственно переписали на новый DC - и случилась магия: у всех пользователей из этих федераций в keycloak слетели все атрибуты, соответственно полномочия в системе тоже слетели.
Читал документацию, не нашел ничего конкретного про такие ситуации. И вот у нас 2 федерации осталось, одна смотрит на группу в старом домене, другая на группу в новом домене.
Можно ли как-то изменить конфигурацию федерации так, чтобы пользователи не потеряли снова все атрибуты, как безопасно тех же пользователей подтянуть в keycloak, но уже с другого домена?

Answer 1

[Alexey Dmitriev]

Это нормальное поведение, ибо у новых сущностей в КК из другого домена другие id.
Пофиксить это можно только вручную изменением id новых пользователей на необходимые в БД КК.

Comments

[ezmoow]

Понял, спасибо. Будем просить у подрядчика доступ к БД, но они откажут и опять скажут в ручную восстанавливать)

[ezmoow]

Возник следующий вопрос. Получается, информация о старых пользователях продолжает храниться, даже после того как группу ldap отключили и пришли пользователи с новыми id?

[Alexey Dmitriev]

ezmoow, может храниться, может и не храниться =- слишком частный случай.
P.S. в смысле просить доступ к БД? Он описан в конфигурации КК