用户联合

## 使用外部存储、

组织可以拥有包含信息、密码和其他凭证的数据库。通常，您无法将现有数据存储迁移到MaxId部署，因此 MaxId可以联合现有外部用户数据库。MaxId支持 LDAP 和 Active Directory，但您还可以使用MaxId用户存储 SPI 为任何自定义用户数据库编写扩展代码。

当用户尝试登录时，MaxId会检查该用户的存储以查找该用户。如果MaxId未找到用户，MaxId会迭代领域的每个用户存储提供程序，直到找到匹配项。然后，MaxId运行时使用的标准用户模型中。然后，该用户模型映射到 OIDC 令牌声明和 SAML 断言属性。

外部用户数据库很少有支持MaxId所有功能所需的数据，因此用户存储提供者可以选择将项目本地存储在 MaxId用户数据存储中。提供商可以在本地导入用户并定期与外部数据存储同步。这种方法取决于提供者的能力和提供者的配置。例如，您的外部用户数据存储可能不支持 OTP。OTP 可以由MaxId处理和存储，具体取决于提供商。

### 添加提供商

要添加存储提供程序，请执行以下过程：

步骤：

1. 单击菜单中的用户联盟。

用户联盟
![](/media/202309/2023-09-20_144321_637982.jpeg)
2. 从列出的卡中选择提供商类型卡

### 处理供应商失败
如果用户存储提供程序出现故障，您可能无法登录管理控制台并查看用户。当使用存储提供程序查找用户时，MaxId不会检测到失败，因此它会取消调用。如果您的高优先级存储提供程序在用户查找期间失败，则登录或用户查询将失败并出现异常，并且不会故障转移到下一个配置的提供程序。

MaxId首先搜索本地MaxId用户数据库来解析用户，然后再搜索任何 LDAP 或自定义用户存储提供程序。考虑创建一个存储在本地MaxId用户数据库中的管理员帐户，以防连接到 LDAP 和后端时出现问题。

每个 LDAP 和自定义用户存储提供程序在其管理控制台页面上都有一个切换开关。禁用用户存储提供程序会在执行查询时跳过该提供程序，因此您可以使用优先级较低的不同提供程序中的用户帐户进行查看和登录。如果您的提供商使用策略并被禁用，则导入的用户仍可在只读模式下进行查找。

当存储提供程序查找失败时，MaxId不会进行故障转移，因为用户数据库之间通常存在重复的用户名或重复的电子邮件。重复的用户名和电子邮件可能会导致问题，因为当管理员希望用户从另一个数据存储加载时，用户却从一个外部数据存储加载。