【发布时间】:2016-03-09 13:43:42
【问题描述】:
我正在尝试通过在我的网站中作为服务提供商 (SP) 和 Okta env 实施 SAML 2.0 来与 Okta SSO 集成。作为我的身份提供者 (IDP) 我不明白如何配置我的 IDP 以针对每个 Auth 请求返回用户所在的组。怎么做?
另外,是否可以在我的 IDP 中有服务帐户,如果用户在某个特定组中,我的后端可以直接询问 IDP?
【问题讨论】:
我正在尝试通过在我的网站中作为服务提供商 (SP) 和 Okta env 实施 SAML 2.0 来与 Okta SSO 集成。作为我的身份提供者 (IDP) 我不明白如何配置我的 IDP 以针对每个 Auth 请求返回用户所在的组。怎么做?
另外,是否可以在我的 IDP 中有服务帐户,如果用户在某个特定组中,我的后端可以直接询问 IDP?
【问题讨论】:
可以通过在 Okta 管理仪表板中正确配置 SP 应用程序来将组添加到 SAMLResponse。
要对现有应用执行此操作,请转到管理面板并编辑 SAML 设置以包含 Group attribute statements。
例如,如果您想向您的 SP 公开包含单词 admin 的所有组,请添加一个具有正确名称(即组)的字段,并指定一个值为 .*admin.* 的 regex 过滤器。
正确配置后,SAMLResponse 将包含以下节点:
<saml2p:Response
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
......
......
<saml2p:Status
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml2p:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>
<saml2:Assertion
......
......
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
<saml2:AttributeStatement
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
<saml2:Attribute
Name="groups"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">admins_group_1
</saml2:AttributeValue>
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">it_admins
</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
</saml2p:Response>
请注意,组将包含所有包含单词 admin 的组,无论它是 Okta 组、AD 组等。
【讨论】: