Shibboleth 2.4.5 不釋放所需的屬性

Question

我們已經為與 Cisco Webex 集成的單點登錄設置了 IDP Shibboleth，但我們繼續獲得未經授權的訪問，因為 IDP 沒有傳遞 Webex 授權訪問所需的 uid。

IDP 的回應總是包括

<saml2:NameID Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\" NameQualifier=\"https://shibboleth.someaddress/idp/shibboleth\" SPNameQualifier=\"https://idbroker-eu.webex.com/key\">_68f435cf51bee4a2861d5a9420e3cdd2</saml2:NameID>

<saml2:NameID>是問題所在，需要使用 mail-attr 代替

attribute-resolver.xml使用此內容更新

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

具有此內容的attribute-filter.xml

<afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/key" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

但是響應從來沒有郵件屬性，IDP 的身份驗證是使用 LoginPassword 完成的，並且該部分與 OpenLDAP 集成在一起工作正常。

Answer 1

我沒有足夠的聲譽來添加評論，但是您能否顯示這些配置： metadata-providers.xml和relying-party.xml ，我認為問題可能出在其中。 因為在這些文件中我們定義了哪些提供者可以訪問 IDP。