【问题标题】:Shibboleth 2.4.5 Not Releasing Needed AttributesShibboleth 2.4.5 不发布需要的属性
【发布时间】:2020-09-02 14:18:38
【问题描述】:

我们已经为与 Cisco Webex 集成的单点登录设置了 IDP Shibboleth,但由于 IDP 没有传递 Webex 授权访问所需的 uid,我们继续获得未经授权的访问。

来自 IDP 的响应始终包括

<saml2:NameID Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\" NameQualifier=\"https://shibboleth.someaddress/idp/shibboleth\" SPNameQualifier=\"https://idbroker-eu.webex.com/key\">_68f435cf51bee4a2861d5a9420e3cdd2</saml2:NameID>

&lt;saml2:NameID&gt; 是问题所在,需要使用 mail-attr

attribute-resolver.xml 已使用此内容进行更新

<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple" 
sourceAttributeID="mail">
        <resolver:Dependency ref="MyLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
     </resolver:AttributeDefinition>

attribute-filter.xml 包含此内容

<afp:AttributeFilterPolicy id="ReleaseToCI">
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" 
value="https://idbroker.webex.com/key" />
        <afp:AttributeRule attributeID="transientId">
            <afp:PermitValueRule xsi:type="basic:ANY"/>
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="mail-attr">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

但响应从来没有邮件属性,IDP 的身份验证是使用 LoginPassword 完成的,并且该部分与 OpenLDAP 集成工作正常。

【问题讨论】:

    标签: linux cisco shibboleth webex


    【解决方案1】:

    我没有足够的声望来添加评论,但是请您显示这些配置:metadata-providers.xmlrelying-party.xml,我认为问题可能出在它们身上。因为在这些文件中,我们定义了哪些提供商可以访问 IDP。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-06-19
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2023-04-01
      • 2013-09-01
      相关资源
      最近更新 更多