SAMLログイン応答アサーションにユーザグループ属性を含める方法

Question

私は自分のアプリにログインするためにSAMLを使用していますが、ログイン応答アサーションの属性にユーザグループを含めたいと思います。私は、ログイン要求で属性が必要であることを指定する必要があるのか​​、これが一般的なIDPやIDP（特に私のサービスプロバイダ）で行う必要がある構成なのか疑問に思っています。

私はOpenAMでIdentify Providerを作成し、自分のAPPサービスプロバイダをOpenAMでリモートSPとして構成しました。また、OpenAMでユーザーを作成してグループに割り当てましたが、私はそうではありません応答アサーションのグループを見ると、OpenAMの値を手動でマップしようとしても、memberOf属性は常に空を返しました。 いかなる情報も高く評価されます。

シェイ

Answer 1

あなたのために私が持っている最高の答えは、SAML2アサーションOOTBでのグループメンバーシップ情報を共有するための良い方法がないことです。

カスタム属性マッパーを実装し、そこにグループメンバーシップデータの取得を実装することをお勧めしますが、DataStoreProviderインターフェイスはグループメンバーシップに関連する操作を公開しないため、AMIdentity/AMIdentityRepositoryあなたのプラグインのAPI。

• リターングループ
• リターンの名前のグループ
• リターンのDNグループのユニバーサルID（ユニバーサル：それはグループになると

  あなたは選択肢のカップルを持っているメンバーシップIDはOpenAMの内部固有IDで、DN形式で格納されていますが、ディレクトリサーバーのDNと同じではありません）

最初のオプションは私の個人的なおすすめですこれはOpenAMの抽象的なユーザデータストアの概念に適合します。