I rodzaju zrozumieć podstawowe SAML uwierzytelniania ma działać:SAML Zapytanie Atrybuty AuthnRequest
użytkownika żądania zasobu przy SP
SP wysyła żądania uwierzytelniania do IDP
IDP uwierzytelnia użytkownika i wysyła z powrotem niektóre userid
SP wysyła zapytanie do atrybutu IDP dodatkowych szczegółów z userid
IDP odsyła atrybuty
SP daje zasób użytkownika
Mój problem jest, można dowolny sposób obejścia Attribut eQuery. Kiedy zgłoszę żądanie SAML 2.0 do mojego serwera testowego Gluu/Shibboleth, otrzymuję zwrot givenName
(imię) i sn
(nazwisko). Czy mimo to mogę poprosić o identyfikator użytkownika i adres e-mail inum
tylko w AuthnRequest?
Moja prośba jest całkiem prosta:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="MyPrefix1457456412304" Version="2.0" IssueInstant="2016-03-08T17:00:12Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST">
<saml:Issuer>me.com</saml:Issuer>
</samlp:AuthnRequest>
Zapytanie wrócę to coś takiego:
<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_bff09cf745ea5722aac3f3ec57c0ecf3" IssueInstant="2016-03-08T17:01:06.140Z" Version="2.0">
<saml2:Issuer ....
<saml2:AttributeStatement>
<saml2:Attribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
czytam odpowiednią część specyfikacji, i to zdaje się mówić do serwera może oddać to, czego naprawdę chce (i ile atrybutów chce)? Moje pytanie brzmi, czy mogę zmusić serwer SAML Gluu/Shibboleth do przekazania mi konkretnych atrybutów w ramach AuthnRequest.
Nienawidzę cię ..... – jn1kk
@Mike git good. – jn1kk