【问题标题】:OpenAM - SAML, Auto federation and Self Service Password ResetOpenAM - SAML、自动联合和自助服务密码重置
【发布时间】:2020-06-13 01:28:18
【问题描述】:

我需要在这里进行头脑风暴,因为我认为我可能误解了整个 SAML 联合点。

关于上下文的一些细节:

  • OpenAM 托管 SAML SP;
  • 在信任圈中,我添加了 https://samltest.id 作为测试 IdP;
  • OpenAM 配置为动态创建本地用户,因为管理员必须能够设置联合用户的某些属性,例如仪表板条目或组成员资格;
  • 我已启用 AutoFederation 并设置了用户属性映射。

联合工作正常 - IdP 用户已正确登录并映射到现有或刚刚创建的 Data Store 用户。在 Data Store 上创建远程用户时,OpenAM 会分配一个用户不知道的随机密码,因此远程用户只能通过 IdP 登录。

现在,包括远程用户在内的所有用户都可以访问控制台并设置自己的密码。为了防止这种情况,我将userPassword 设置为受保护的属性,所以如果用户不知道他们当前的密码,他们就无法更改它。

但是我注意到用户可以为通过联合机制配置的帐户请求密码重置 - 这意味着他们可以更改其帐户的密码,然后通过本地登录机制登录。

我错过了什么吗?对远程用户进行身份验证时是否会出现这种行为?如何设置所有内容以使本地用户与远程用户分开?

【问题讨论】:

    标签: saml openam federation


    【解决方案1】:

    我想我解决了这个问题。我已修改组织身份验证配置以使用包含 LDAP 模块的新链,而不是使用 DataStore 模块的默认 ldapService。我能够通过检查 LDAP 存储中的特定属性来区分联合用户和本地用户,因此我修改了 LDAP 模块以应用用户搜索过滤器,不包括联合用户,现在他们不再可以使用恢复密码解决方法在本地进行身份验证.

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-06-21
      • 2017-05-20
      • 1970-01-01
      • 2018-02-14
      • 1970-01-01
      • 2014-07-04
      相关资源
      最近更新 更多