【发布时间】:2020-06-13 01:28:18
【问题描述】:
我需要在这里进行头脑风暴,因为我认为我可能误解了整个 SAML 联合点。
关于上下文的一些细节:
- OpenAM 托管 SAML SP;
- 在信任圈中,我添加了 https://samltest.id 作为测试 IdP;
- OpenAM 配置为动态创建本地用户,因为管理员必须能够设置联合用户的某些属性,例如仪表板条目或组成员资格;
- 我已启用 AutoFederation 并设置了用户属性映射。
联合工作正常 - IdP 用户已正确登录并映射到现有或刚刚创建的 Data Store 用户。在 Data Store 上创建远程用户时,OpenAM 会分配一个用户不知道的随机密码,因此远程用户只能通过 IdP 登录。
现在,包括远程用户在内的所有用户都可以访问控制台并设置自己的密码。为了防止这种情况,我将userPassword 设置为受保护的属性,所以如果用户不知道他们当前的密码,他们就无法更改它。
但是我注意到用户可以为通过联合机制配置的帐户请求密码重置 - 这意味着他们可以更改其帐户的密码,然后通过本地登录机制登录。
我错过了什么吗?对远程用户进行身份验证时是否会出现这种行为?如何设置所有内容以使本地用户与远程用户分开?
【问题讨论】:
标签: saml openam federation