如何包括用戶羣體在SAML登錄響應斷言

Question

我使用SAML登錄到我的應用程序的屬性，我想包括在登錄響應斷言屬性的用戶羣體。我想知道登錄請求是否應該指定該屬性是必需的，或者這是一個需要在IDP上完成的配置，還是專門爲我的服務提供商提供的IDP。

我在OpenAM中創建了Identify Provider，並在OpenAM中將自己的APP Service Provider配置爲遠程SP，我還在OpenAM中創建了一個用戶並將其分配給一個組，但是，我不是在響應斷言中看到該組，即使我嘗試手動映射OpenAM中的值，memberOf屬性始終返回爲空。任何信息將不勝感激。

吉文

Answer 1

最佳答案我對你，是，有分享在SAML2斷言開箱即用的組成員身份信息沒有什麼好辦法。

我建議實現自定義屬性映射器和實施組成員檢索數據有，但你會發現，DataStoreProvider接口不公開組成員相關的操作，所以你需要直接使用AMIdentity/AMIdentityRepository API在你的插件。

當談到組成員，你有兩個選擇：

• 回報集團
• 回報名組
• 回報DN組的通用ID（通用ID是OpenAM的內部唯一ID，以DN格式存儲，但與目錄服務器中的組DN不同）

第一個選項是我的個人推薦因爲它符合OpenAM的抽象用戶數據存儲概念。