如何包括用户群体在SAML登录响应断言

Question

我使用SAML登录到我的应用程序的属性，我想包括在登录响应断言属性的用户群体。我想知道登录请求是否应该指定该属性是必需的，或者这是一个需要在IDP上完成的配置，还是专门为我的服务提供商提供的IDP。

我在OpenAM中创建了Identify Provider，并在OpenAM中将自己的APP Service Provider配置为远程SP，我还在OpenAM中创建了一个用户并将其分配给一个组，但是，我不是在响应断言中看到该组，即使我尝试手动映射OpenAM中的值，memberOf属性始终返回为空。任何信息将不胜感激。

吉文

Answer 1

最佳答案我对你，是，有分享在SAML2断言开箱即用的组成员身份信息没有什么好办法。

我建议实现自定义属性映射器和实施组成员检索数据有，但你会发现，DataStoreProvider接口不公开组成员相关的操作，所以你需要直接使用AMIdentity/AMIdentityRepository API在你的插件。

当谈到组成员，你有两个选择：

• 回报集团
• 回报名组
• 回报DN组的通用ID（通用ID是OpenAM的内部唯一ID，以DN格式存储，但与目录服务器中的组DN不同）

第一个选项是我的个人推荐因为它符合OpenAM的抽象用户数据存储概念。