【发布时间】:2020-09-02 14:18:38
【问题描述】:
我们已经为与 Cisco Webex 集成的单点登录设置了 IDP Shibboleth,但由于 IDP 没有传递 Webex 授权访问所需的 uid,我们继续获得未经授权的访问。
来自 IDP 的响应始终包括
<saml2:NameID Format=\"urn:oasis:names:tc:SAML:2.0:nameid-format:transient\" NameQualifier=\"https://shibboleth.someaddress/idp/shibboleth\" SPNameQualifier=\"https://idbroker-eu.webex.com/key\">_68f435cf51bee4a2861d5a9420e3cdd2</saml2:NameID>
<saml2:NameID> 是问题所在,需要使用 mail-attr
attribute-resolver.xml 已使用此内容进行更新
<resolver:AttributeDefinition id="mail-attr" xsi:type="ad:Simple"
sourceAttributeID="mail">
<resolver:Dependency ref="MyLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="uid" />
</resolver:AttributeDefinition>
attribute-filter.xml 包含此内容
<afp:AttributeFilterPolicy id="ReleaseToCI">
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
value="https://idbroker.webex.com/key" />
<afp:AttributeRule attributeID="transientId">
<afp:PermitValueRule xsi:type="basic:ANY"/>
</afp:AttributeRule>
<afp:AttributeRule attributeID="mail-attr">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
但响应从来没有邮件属性,IDP 的身份验证是使用 LoginPassword 完成的,并且该部分与 OpenLDAP 集成工作正常。
【问题讨论】:
标签: linux cisco shibboleth webex