Artifactory Saml 组与 ADFS 的关联

Question

为了您的信息，我尝试搜索不同的链接，但没有找到正确的答案。下面的链接看起来像同样的问题，但没有正确的答案

Artifactory: SAML SSO group matching not working

我面临与 SAML 的人工制品组关联的问题。尝试按照以下链接中提到的过程进行操作，但它不起作用。非常感谢任何形式的帮助。

https://jfrog.com/knowledge-base/how-do-i-configure-artifactory-saml-sso-with-adfs/

我们的目标是在 ADFS 中存在的工件中创建相同的组。这样我们就可以向工件中的相应组授予权限。但问题是人们能够使用他们的域凭据登录，就好像我们向组提供权限一样，它不能按预期工作。

如果您需要更清楚的说明，我很乐意就此问题进行更多解释。

ADFS 方面由其他团队处理，即使他们不确定它为什么不起作用。神器中是否​​有任何错误？我已经用 jenkins 配置了 SAML，它工作得非常好。

Answer 1

我将尝试详细说明该过程。

在登录请求之后，用户及其组可用于 Artifactory 在由 SAML 身份提供者发送回 Artifactory 的断言响应中。只要身份提供者配置为包含它，数据就应该在断言 XML 响应中可用。例如，Identify Provider 可以排除组信息并仅包含用户数据（即用户名、邮件）。

为了确保 Artifactory 可以将用户分配给 SAML 组，您需要执行以下操作：

1. 配置 ADFS 以在登录响应中包含用户组属性。您提到这是由其他团队处理的，但您可以在帖子中附加的link 中查看如何完成此操作。
2. 在 Artifactory 中创建相关组，或将它们从另一个身份验证提供程序（例如 Artifactory LDAP 集成组屏幕）导入到 Artifactory。 Artifactory 中必须存在相关组。
3. 打开 Artifactory Web-UI SAML 配置屏幕，选中 Auto Associate groups 复选框
4. 编辑Group Attribute 文本字段，并输入组声明的SAML 属性名称。所需的组属性名称是在 SAML 断言响应中返回的名称。

在断言中应该是这样的：

<saml:AttributeStatement>          
    <saml:Attribute Name="memberof">
        <saml:AttributeValue>group1</saml:AttributeValue>
        <saml:AttributeValue>group2</saml:AttributeValue>
    </saml:Attribute>
</saml:AttributeStatement>

在您的情况下，您可以从管理您的 ADFS 的其他团队获取组关联属性名称，如您所提到的，或者仅在任何类型的 SAML 跟踪器浏览器插件中查看断言（只要配置了 ADFS发送组属性）

完成上述配置后，当 SAML 用户登录 Artifactory 时，该用户将自动关联到 SAML 断言响应返回的组（只要该组存在于 Artifactory 中）

注意：SAML 组关联不会持续存在，并且仅对当前登录会话有效，因此，如果您将在 UI 中编辑用户/组屏幕，用户/组不会但是，如果您将特定资源的权限授予您希望将用户分配到的组，则可以看到登录的用户能够使用授予的权限。