saml - Shibboleth nameID 格式电子邮件地址-6ren

saml - Shibboleth nameID 格式电子邮件地址

转载作者：行者123 更新时间：2023-12-01 00:37:50

25

4

我正在努力将 SAML 供应商 (Freshdesk) 集成到我的 Shibboleth 环境中。我的问题是 nameID 格式为空。

阅读我的供应商的文档，他们想要 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">example@test.freshdesk.com</saml:NameID>

我已将这种格式添加到我的元数据中，并添加到我的电子邮件属性定义中的属性编码器中。

但是在我的调试日志中，我收到了这条消息:

2015-08-12 18:01:47,005 - DEBUG [net.shibboleth.idp.saml.attribute.encoding.AbstractSAMLAttributeEncoder:154] - Beginning to encode attribute email 
2015-08-12 18:01:47,006 - DEBUG [net.shibboleth.idp.saml.attribute.encoding.SAMLEncoderSupport:73] - Encoding value martinb@psd401.net of attribute email 
2015-08-12 18:01:47,006 - DEBUG [net.shibboleth.idp.saml.attribute.encoding.AbstractSAMLAttributeEncoder:191] - Completed encoding 1 values for attribute email 
2015-08-12 18:01:47,007 - DEBUG [net.shibboleth.idp.saml.saml2.profile.impl.AddAttributeStatementToAssertion:117] - Profile Action AddAttributeStatementToAssertion: Adding constructed AttributeStatement to Assertion _0594703842dee0ce77c66 
3989574661b 
2015-08-12 18:01:47,008 - DEBUG [org.opensaml.saml.saml2.profile.impl.AddNameIDToSubjects:286] - Profile Action AddNameIDToSubjects: Attempting to add NameID to outgoing Assertion Subjects 
2015-08-12 18:01:47,009 - DEBUG [org.opensaml.saml.common.profile.logic.AbstractNameIDPolicyPredicate:218] - Policy checking disabled for NameIDPolicy with Format urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 
2015-08-12 18:01:47,009 - DEBUG [org.opensaml.saml.common.profile.logic.MetadataNameIdentifierFormatStrategy:82] - Metadata specifies the following formats: [urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress] 
2015-08-12 18:01:47,010 - DEBUG [net.shibboleth.idp.saml.profile.logic.DefaultNameIdentifierFormatStrategy:100] - Configuration specifies the following formats: [urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress] 
2015-08-12 18:01:47,010 - DEBUG [net.shibboleth.idp.saml.profile.logic.DefaultNameIdentifierFormatStrategy:121] - Filtered non-metadata-supported formats from configured formats, leaving: [urn:oasis:names:tc:SAML:1.1:nameid-format:emailAd 
dress] 
2015-08-12 18:01:47,010 - DEBUG [org.opensaml.saml.saml2.profile.impl.AddNameIDToSubjects:323] - Profile Action AddNameIDToSubjects: Candidate NameID formats: [urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress] 
2015-08-12 18:01:47,011 - DEBUG [org.opensaml.saml.saml2.profile.impl.AddNameIDToSubjects:396] - Profile Action AddNameIDToSubjects: Trying to generate NameID with Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
2015-08-12 18:01:47,011 - DEBUG [org.opensaml.saml.common.profile.impl.ChainingNameIdentifierGenerator:106] - Trying to generate identifier with Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 
2015-08-12 18:01:47,011 - DEBUG [org.opensaml.saml.saml2.profile.impl.AddNameIDToSubjects:341] - Profile Action AddNameIDToSubjects: Unable to generate a NameID, leaving empty

我一直无法找到 AddNameIDToSubjects 错误的原因，为什么它会将 NameID 留空？我的属性编码器有问题吗？

 <resolver:AttributeDefinition id="email" xsi:type="ad:Simple" 
              sourceAttributeID="mail" >
        <resolver:Dependency ref="psdldap" />


        <resolver:AttributeEncoder 
                xsi:type="enc:SAML2StringNameID" 
                xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
                nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />

        <resolver:AttributeEncoder 
                xsi:type="enc:SAML1String" 
                name="urn:mace:dir:attribute-def:email"/>
        <resolver:AttributeEncoder 
                xsi:type="enc:SAML2String" 
                nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" 
                name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="email"/>
    </resolver:AttributeDefinition>

最佳答案

SAML2AttributeSourcedGenerator 应该配置在 saml-nameid.xml

<!-- SAML 2 NameID Generation -->
<util:list id="shibboleth.SAML2NameIDGenerators">

    <ref bean="shibboleth.SAML2TransientGenerator" />

    <!-- Uncommenting this bean requires configuration in saml-nameid.properties. -->
    <!--
    <ref bean="shibboleth.SAML2PersistentGenerator" />
    -->

    <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
        p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
        p:attributeSourceIds="#{ {'email'} }" />

</util:list>

Shibboleth Wiki 中的更多详细信息 Custom Identified Configuration部分。

关于saml - Shibboleth nameID 格式电子邮件地址，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/31992009/

25

4

0

文章推荐： javascript - 如何将函数从有状态组件传递到无状态组件？

文章推荐： Python:为所有测试方法模拟补丁类一次？

文章推荐： javascript - 如何在带有子项的 JSON 对象上制作 map

shibboleth - 迁移 Shibboleth 2 -> 3 : WARN Shibboleth. 配置 : DEPRECATED; WARN Shibboleth. RequestMapper:已弃用
/var/log/messages 不断重复以下内容: WARN Shibboleth.Config : DEPRECATED: legacy 2.0 configuration, support w
shibboleth - 是否可以从本地主机连接 Shibboleth idp？
我在本地主机上安装了 Shibboleth 服务提供程序。我想连接到 shibboleth idp。 Error Message: No peer endpoint available to whic
shibboleth - 强制 Shibboleth 在身份验证后重定向到特定 URL
我正在尝试满足在通过 Shibboleth 进行身份验证后始终将用户重定向到相同 URL 的要求。目前，它将重定向到我们想要忽略的引荐来源网址(可以更改)并将其替换为我们自己的引荐来源网址(永远不会
shibboleth - Web 登录服务 - 拒绝访问(Shibboleth IdP 3)
我已将 Shibboleth IdP 3 配置为针对 LDAP (AD) 进行身份验证。当我访问以下 URL 时 https://FDQN-of-the-IdP/idp/status 我看到以下页面
shibboleth - 如何让 Shibboleth IdP 以 emailAddress 格式发送属性？
我正在尝试配置 Shibboleth 身份提供程序以与现有的 SAML 2.0 服务提供程序一起使用(我假设它也是 Shibboleth)，但它失败并显示 InvalidNameIDPolicy 状态
tomcat - Tomcat 8 上的 Shibboleth IDP 安装 : Found error java. lang.ClassNotFoundException : net. shibboleth.utilities.ssl.TrustAnyCertificate
我根据此链接一步一步地在 tomcat 8 上设置 shibboleth idp https://wiki.shibboleth.net/confluence/display/IDP30/Apache
成功登录后的 Shibboleth 自定义重定向
我需要在 Shibbolethlogin 之后和重定向到 SP url 之前执行操作。对我来说，最好的解决方案是“Shib 页面登录”-> 登录正常-> 重定向到我的自定义页面-> 重定向到 sp u
attributes - Shibboleth - 如何读取属性？
我使用 Shibboleth 成功登录到我的服务提供商测试页面。然后我转到/Shibboleth.sso/Session 页面，我看到以下内容: Attributes affiliation: 1 v
apache - Shibboleth 忽略配置设置
当从命令行 (/usr/sbin/shibd -t) 测试 shibd 时，我看到了这个警告: WARN Shibboleth.Application : empty/missing cookiePr
iis - ColdFusion/Shibboleth - REMOTE_USER
我的 IIS 服务器上托管有一个 ColdFusion 应用程序。我添加了Shibboleth服务到我的 Web IIS，并且 CGI/过滤器已设置为使用它。我将我的申请添加到 testshib联盟并
iis - ColdFusion/Shibboleth - REMOTE_USER
我的 IIS 服务器上托管有一个 ColdFusion 应用程序。我添加了Shibboleth服务到我的 Web IIS，并且 CGI/过滤器已设置为使用它。我将我的申请添加到 testshib联盟并
saml - Shibboleth nameID 格式电子邮件地址
我正在努力将 SAML 供应商 (Freshdesk) 集成到我的 Shibboleth 环境中。我的问题是 nameID 格式为空。阅读我的供应商的文档，他们想要 example@test.fre
java - 单一注销不适用于 Shibboleth IdP
我一直在尝试用java实现WEB SSO服务提供者。我正在使用 Shibboleth 身份提供商。一切工作正常，直到身份验证步骤，我成功地为用户创建 session /设置 cookie。但是，当我尝
javascript - 如何清除 Shibboleth session
我使用 angularjs 创建了一个 Web 应用程序。我在我的登录 Controller 上集成了 Shibboleth 进行身份验证。我知道可以通过 cookie 概念清除 session 。
php 仅在受 shibboleth 保护的目录中不被解释
我到处寻找这个问题的答案，但没有成功。我在我的 OSX 网络服务器上安装了 PHP。当我访问 myserver.com/test.php 时，一切正常。但是，我有一个名为/shibboleth/的
ssl - 您如何获得受 shibboleth 身份验证保护的页面？
我正试图从受 shibboleth 身份验证保护的页面上抓取数据。我无法让 cURL 和 webisoget 正常工作。所以，我正在尝试 wget，因为我认为我可以通过我的证书并获取我想要的页面。但是
python - Django 和 Shibboleth
我正在研究在 Django 部署中使用 Shibboleth 的选项。从我发现的情况来看，事情看起来有些稀疏。任何人都可以评论以下内容吗？有人在使用 django_shibboleth 模块吗(见
single-sign-on - 如何从 shibboleth 注销
我正在使用 shibboleth 服务以实现以下目标用户试图访问 https://sp.dev.myserver.com/secure/ 中的安全资源重定向到 WAYF 选择 idp 并重定向到
restful-authentication - Shibboleth Restful api
我正在为一所使用 Shibboleth 对学生进行身份验证的大学编写一个 android 应用程序。由于我正在制作一个 android native 应用程序(不是 webview)，我想以编程方式
security - 了解 Shibboleth 和 SAML
我有一个 Drupal 站点，我正在为一个客户挺身而出。我被要求使用 SAML2 使用单点登录(我将是服务提供商，我的客户将是身份提供商)。到目前为止，我发现的最好的事情是 SimpleSAMLP

首页

博学

6Ren·AI

商城

saml - Shibboleth nameID 格式电子邮件地址