
<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><p><span lang="EN-US">Hello,</span></p>


<p><span lang="EN-US"> </span></p>


<p><span lang="EN-US">I have a

Java application that talks openid-connect with Keycloak and then Keycloak uses

the SAML 2.0 Identity provider to redirect to a 3<sup>rd</sup> party SAML idp,

acting as an identity broker. </span></p>


<p><span lang="EN-US"> </span></p>


<p><span lang="EN-US">So far so

good, I can login into my application with a user existing in the 3<sup>rd</sup>

party idp. Great! but where I am bit stuck is when I try to map attributes in

the SAML response from the idp. </span></p>


<p><span lang="EN-US"> </span></p>


<p><span lang="EN-US">Basically,

I would like Keycloak to populate the roles in the access token that my

application gets in the web request with the information coming in the SAML

attribute. In other words, I want the 3<sup>rd</sup> party SAML idp to decide

what role/s should be assigned to the user. </span></p>


<p><span lang="EN-US"> </span></p>


<p><span lang="EN-US">Is my

assumption correct that all I need is the attribute importer mapper in the SAML

provider to do this? So far I could not get it to work </span><span lang="EN-US" style="font-family:wingdings">L</span><span lang="EN-US">  What is the appropriate way to do this?</span></p>


<p><span lang="EN-US"> </span></p>


<p><span lang="EN-US">Thank you! </span></p></div><div dir="ltr">


<p><span lang="EN-GB" style="color:rgb(31,73,125)"> </span></p>


<p><span lang="EN-GB">Manuel Palacio</span></p></div></div></div>