繁体   English   中英

Shibboleth 2.4.5 不释放所需的属性

[英]Shibboleth 2.4.5 Not Releasing Needed Attributes

我们已经为与 Cisco Webex 集成的单点登录设置了 IDP Shibboleth,但我们继续获得未经授权的访问,因为 IDP 没有传递 Webex 授权访问所需的 uid。

IDP 的回应总是包括

<saml2:NameID Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\" NameQualifier=\"https://shibboleth.someaddress/idp/shibboleth\" SPNameQualifier=\"https://idbroker-eu.webex.com/key\">_68f435cf51bee4a2861d5a9420e3cdd2</saml2:NameID>

<saml2:NameID>是问题所在,需要使用 mail-attr 代替

attribute-resolver.xml使用此内容更新

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

具有此内容的attribute-filter.xml

<afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/key" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

但是响应从来没有邮件属性,IDP 的身份验证是使用 LoginPassword 完成的,并且该部分与 OpenLDAP 集成在一起工作正常。

我没有足够的声誉来添加评论,但是您能否显示这些配置: metadata-providers.xmlrelying-party.xml ,我认为问题可能出在其中。 因为在这些文件中我们定义了哪些提供者可以访问 IDP。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM