是否可以在 SAML 响应中发送 AD 组 SID? 如果可以,如何实现以便我们可以在 SP 中处理该 SID 值?
但是,在将 appuser.objectSid 配置文件映射到 user.manager(因为我们没有找到 user.objectSid)并将其添加到属性语句之后,我们能够在 SAML 响应中发送 AD 用户 SID。
是否有任何其他/更好的方法来获取 SAML 响应中的 AD 用户 SID 或以上是唯一的方法?
【问题讨论】:
所以 - 你有 2 个问题:
1) 组 SID。 Okta 确实有 Group SID,但它没有作为 SAML 配置的一部分公开。您可以发送用户所属的组的名称,作为在应用程序向导的 SAML 配置中可配置的组属性语句的一部分 (https://support.okta.com/help/articles/Knowledge_Article/Using-the-App-Integration-Wizard#Config_SAMLSettings)
2) 对于用户 SID,这是一个 2 部分设置。首先,您要向 Okta 用户配置文件添加自定义属性。这将允许您将 appuser.objectSid 从 AD 映射到此自定义属性 - 而不是重载一些没有意义的现有 okta 属性。然后在应用向导 SAML 配置中,您可以向 SAML 断言添加新属性并将其与新添加的自定义属性相关联。
组/用户属性语句配置都在这里完成(应用向导 SAML 配置截图)
希望这会有所帮助。
【讨论】: