Tôi loại hiểu cơ bản SAML thẩm vụ phải làm việc: tài nguyên yêu cầuSAML Yêu cầu thuộc tính Trong AuthnRequest
tài khoản tại SP
SP gửi yêu cầu auth để IDP
IDP xác thực người dùng và gửi lại một số userId
SP sẽ gửi thuộc tính truy vấn để IDP cho biết thêm chi tiết với userId
IDP gửi lại các thuộc tính
SP mang đến cho người sử dụng tài nguyên
vấn đề của tôi là, có thể giúp bạn bất kỳ attribut cách bypass eQuery. Khi tôi thực hiện yêu cầu SAML 2.0 cho máy chủ Gluu/Shibboleth thử nghiệm của mình, tôi lấy lại givenName
(firstname) và sn
(họ). Có cách nào tôi có thể yêu cầu inum
id người dùng và email chỉ trong AuthnRequest?
Yêu cầu của tôi là khá đơn giản:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="MyPrefix1457456412304" Version="2.0" IssueInstant="2016-03-08T17:00:12Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST">
<saml:Issuer>me.com</saml:Issuer>
</samlp:AuthnRequest>
Yêu cầu tôi nhận được lại là một cái gì đó như thế này:
<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_bff09cf745ea5722aac3f3ec57c0ecf3" IssueInstant="2016-03-08T17:01:06.140Z" Version="2.0">
<saml2:Issuer ....
<saml2:AttributeStatement>
<saml2:Attribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
Tôi đọc phần có liên quan của spec, và có vẻ như để nói rằng máy chủ có thể trả lại bất cứ điều gì nó muốn thực sự (và bao nhiêu thuộc tính nó muốn)? Một lần nữa, câu hỏi của tôi là liệu tôi có thể ép buộc máy chủ SAML Gluu/Shibboleth cung cấp cho tôi các thuộc tính cụ thể như một phần của AuthnRequest hay không.
Tôi ghét bạn ..... – jn1kk
@Mike git good. – jn1kk