[英]Shibboleth 2.4.5 Not Releasing Needed Attributes
我們已經為與 Cisco Webex 集成的單點登錄設置了 IDP Shibboleth,但我們繼續獲得未經授權的訪問,因為 IDP 沒有傳遞 Webex 授權訪問所需的 uid。
IDP 的回應總是包括
<saml2:NameID Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\" NameQualifier=\"https://shibboleth.someaddress/idp/shibboleth\" SPNameQualifier=\"https://idbroker-eu.webex.com/key\">_68f435cf51bee4a2861d5a9420e3cdd2</saml2:NameID>
<saml2:NameID>
是問題所在,需要使用 mail-attr 代替
attribute-resolver.xml使用此內容更新
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple"
sourceAttributeID="mail">
<resolver:Dependency ref="MyLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
</resolver:AttributeDefinition>
具有此內容的attribute-filter.xml
<afp:AttributeFilterPolicy id="ReleaseToCI">
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
value="https://idbroker.webex.com/key" />
<afp:AttributeRule attributeID="transientId">
<afp:PermitValueRule xsi:type="basic:ANY"/>
</afp:AttributeRule>
<afp:AttributeRule attributeID="mail-attr">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
但是響應從來沒有郵件屬性,IDP 的身份驗證是使用 LoginPassword 完成的,並且該部分與 OpenLDAP 集成在一起工作正常。
我沒有足夠的聲譽來添加評論,但是您能否顯示這些配置: metadata-providers.xml
和relying-party.xml
,我認為問題可能出在其中。 因為在這些文件中我們定義了哪些提供者可以訪問 IDP。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.