WSO2 IS联合登录未显示正确的用户声明
[英]WSO2 IS federated login does not show correct user claims
问题描述
考虑您拥有WSO2 IS(5.3.0)和上游IDP(例如SAML IDP)的情况。
登录过程如下:用户访问重定向到本地WSO2 IS的服务提供商(例如OpenID Connect客户端)。 SP配置为使用上游SAML IDP或本地登录作为出站身份验证选项。 上游SAML IDP在断言中返回一些属性,但未配置JiT设置。
现在使用服务提供商从登录过程获取的访问令牌
- 使用令牌查询WSO2 IS的SOAP令牌验证端点->返回的用户声明是本地用户存储中的声明(嵌入式LDAP)
- 查询userinfo REST端点->用户声明是上游IDP在SAML断言中返回的声明,userinfo不返回任何本地属性
这是配置问题吗? 有没有一种方法可以解决此问题?
使用userinfo端点使情况更糟的是,返回的声明取决于用户是通过本地登录名(在WSO2 IS中)还是通过上游外部IDP登录。 SOAP令牌验证端点在两种情况下均返回相同的属性,情况并非如此。
1 个解决方案
解决方案1
0 2017-05-31 15:22:00
我对此进行了更多调查。 看起来SOAP令牌验证端点使用了声明检索器,该检索器直接访问用户存储(例如LDAP),而userinfo端点从高速缓存中获取概要文件属性。 缓存条目在身份验证期间生成,并填充有SAML断言中的信息。
解决方法可能是为IDP启用JiT设置。 不幸的是,只要IDN_ASSOCIATED_ID中没有维护任何帐户关联,仍然存在不匹配的情况。
IMO应自动创建帐户关联,以防配置用户。 不确定这是错误还是每个设计。 至少有一些方法可以解决此问题。
在 WSO2 身份服务器 5.10.0 中将本地用户帐户链接到联合用户的正确方法是什么
[英]What is the correct way of linking local user account to federated user in WSO2 Identity server 5.10.0
wso2-wso2身份服务器是否支持从联合IDP发起IDP启动注销?
[英]wso2 - Does wso2 identity server support IDP initiated logout from federated IDP?
WSO2 Identity Server 5.1.0未在SAML响应中返回用户声明
[英]WSO2 Identity Server 5.1.0 not returning user claims in SAML Response
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.