WSO2 IS聯合登錄未顯示正確的用戶聲明
[英]WSO2 IS federated login does not show correct user claims
問題描述
考慮您擁有WSO2 IS(5.3.0)和上游IDP(例如SAML IDP)的情況。
登錄過程如下:用戶訪問重定向到本地WSO2 IS的服務提供商(例如OpenID Connect客戶端)。 SP配置為使用上游SAML IDP或本地登錄作為出站身份驗證選項。 上游SAML IDP在斷言中返回一些屬性,但未配置JiT設置。
現在使用服務提供商從登錄過程獲取的訪問令牌
- 使用令牌查詢WSO2 IS的SOAP令牌驗證端點->返回的用戶聲明是本地用戶存儲中的聲明(嵌入式LDAP)
- 查詢userinfo REST端點->用戶聲明是上游IDP在SAML斷言中返回的聲明,userinfo不返回任何本地屬性
這是配置問題嗎? 有沒有一種方法可以解決此問題?
使用userinfo端點使情況更糟的是,返回的聲明取決於用戶是通過本地登錄名(在WSO2 IS中)還是通過上游外部IDP登錄。 SOAP令牌驗證端點在兩種情況下均返回相同的屬性,情況並非如此。
1 個解決方案
解決方案1
0 2017-05-31 15:22:00
我對此進行了更多調查。 看起來SOAP令牌驗證端點使用了聲明檢索器,該檢索器直接訪問用戶存儲(例如LDAP),而userinfo端點從高速緩存中獲取概要文件屬性。 緩存條目在身份驗證期間生成,並填充有SAML斷言中的信息。
解決方法可能是為IDP啟用JiT設置。 不幸的是,只要IDN_ASSOCIATED_ID中沒有維護任何帳戶關聯,仍然存在不匹配的情況。
IMO應自動創建帳戶關聯,以防配置用戶。 不確定這是錯誤還是每個設計。 至少有一些方法可以解決此問題。
在 WSO2 身份服務器 5.10.0 中將本地用戶帳戶鏈接到聯合用戶的正確方法是什么
[英]What is the correct way of linking local user account to federated user in WSO2 Identity server 5.10.0
wso2-wso2身份服務器是否支持從聯合IDP發起IDP啟動注銷?
[英]wso2 - Does wso2 identity server support IDP initiated logout from federated IDP?
WSO2 Identity Server 5.1.0未在SAML響應中返回用戶聲明
[英]WSO2 Identity Server 5.1.0 not returning user claims in SAML Response
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.