WSO2 ISフェデレーションログインで正しいユーザークレームが表示されない

Question

WSO2 IS（5.3.0）とアップストリームIDP（SAML IDPなど）がある場合を考えます。

ログイン手順は次のとおりです。ユーザは、ローカルWSO2 ISにリダイレクトするサービスプロバイダ（OpenID Connectクライアントなど）にアクセスします。 SPは、アウトバウンド認証オプションとしてアップストリームSAML IDPまたはローカルログインを使用するように設定されています。 上流のSAML IDPがアサーションにいくつかの属性を返しますが、JiTプロビジョニングは構成されていません。ローカルユーザーストアからクレームがある返さ>ユーザー主張 -

は今WSO2のSOAPトークン検証エンドポイントは、トークン とIS

1. クエリに、サービスプロバイダは、ログインプロセスから取得するアクセストークンを使用します（組み込みLDAP）のUserInfo RESTエンドポイントが
2. クエリ - >ユーザクレームがSAMLアサーションの上流IDPによって返されたクレームは、userinfoを、任意のローカル属性には戻りませんされて

これは構成上の問題ですか？この問題を回避する方法はありますか？

userinfoエンドポイントがさらに悪化する理由は、ユーザーがローカルログイン（WSO2 ISの場合）またはアップストリームの外部IDP経由でログインしたかどうかによって返されるクレームが異なることです。どちらの場合も同じ属性を返すSOAPトークン検証エンドポイントの場合はそうではありません。

Answer 1

私はこれについてさらに調査しました。 SOAPトークン検証エンドポイントは、ユーザストア（例えばLDAP）に直接アクセスするクレームレトリーバを使用し、userinfoエンドポイントはキャッシュからプロファイル属性を取得するように見える。キャッシュエントリは、認証時に生成され、SAMLアサーションからの情報が入力されます。

IDPのJiTプロビジョニングを有効にすることが考えられます。残念ながら、IDN_ASSOCIATED_IDにアカウントの関連付けが維持されていない限り、依然として不一致があります。

IMOアカウントの関連付けは、ユーザーがjitプロビジョニングされている場合に自動的に作成する必要があります。これがバグかデザインかは分かりません。少なくとも、これを回避するオプションがあります。