- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我按照 Set up sign-in with a Salesforce SAML provider by using custom policies in Azure Active Directory B2C 中的示例进行操作并且能够成功地从 Salesforce 单点登录到 Azure B2C。但是,我还想检索来自 SAML 断言的 NameID 元素作为声明。这可能吗?
例如,假设发布到 B2C 的断言消费者端点的传入 SAML 2.0 断言看起来类似于这种简化的 XML。
<saml:Assertion>
<saml:Issuer>https://mytestinstance-dev-ed.my.salesforce.com</saml:Issuer>
<saml:Subject>
<saml:NameID>emp99999</saml:NameID>
</saml:Subject>
<saml:AuthnStatement AuthnInstant="2018-10-04T16:56:44.192Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
<saml:AttributeStatement>
<saml:Attribute Name="userId">
<saml:AttributeValue>009f90000099zzz</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="username">
<saml:AttributeValue>user000@example.com</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="email">
<saml:AttributeValue>user000@example.com</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="">
<saml:AttributeValue>false</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
TechnicalProfile 允许您通过引用 AttributeStatement 作为声明来访问任何属性OutputClaim 元素中 PartnerClaimType 中的名称。例如,对于下面的 TechnicalProfile,socialIdpUserId 声明为设置为来自 SAML 断言的 userId 属性的值,“009f90000099zzz”。我想要的是是一个名为employeeId 的声明,它设置为“emp99999”,即NameID 元素的值。
<TechnicalProfile Id="salesforce">
<DisplayName>Salesforce</DisplayName>
<Description>Login with your Salesforce account</Description>
<Protocol Name="SAML2"/>
<Metadata>
<Item Key="RequestsSigned">false</Item>
<Item Key="WantsEncryptedAssertions">false</Item>
<Item Key="WantsSignedAssertions">false</Item>
<Item Key="PartnerEntity">https://mytestinstance-dev-ed.my.salesforce.com/.well-known/samlidp/TestB2C.xml</Item>
</Metadata>
<!-- <CryptographicKeys> -->
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="socialIdpUserId" PartnerClaimType="userId"/>
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="SAMLIdp" />
<!-- We want the Subject/NameID value as a custom employeeId claim. URI reference doesn't work. -->
<OutputClaim ClaimTypeReferenceId="employeeId"
PartnerClaimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" />
</OutputClaims>
<!--<OutputClaimsTransformations> -->
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop"/>
</TechnicalProfile>
我尝试使用 PartnerClaimType 值,例如“NameID”、“NameIdentifier”,以及 NameIdentifier 的知名 URI这些似乎都不起作用。
我还看到了一些关于使用 SubjectNamingInfo 元素的引用并进行了实验,但这似乎只与定义发送到 RelyingParty 的 token 相关。而不是从 IDP 收到的 token 中读取声明。
另外,任何其他的断言元素呢?例如,根据 IDP 的使用方式,我可以看到需要读取 AuthnContextClassRef 值来决定是否发出 MFA 质询。
最佳答案
使用 assertionSubjectName 的解决方案绝对是正确的。事实上,MSFT 在 2018 年 12 月 20 日更新了他们的主要文档页面以添加更多信息:Define a SAML Technical Profile .话虽如此 - 我想再添加一个注释,以帮助遇到这种行为的其他人。如果 NameID 元素具有“NameQualifier”属性,Azure 似乎不会将 NameID 映射到您的输出声明。
示例 - 这将映射到您的输出声明:
<Subject>
<NameID>foo@bar.com</NameID>
这不会映射到您的输出声明:
<Subject>
<NameID NameQualifier="https://bar.com/realms/foo">foo@bar.com</NameID>
希望这对遇到“assertionSubjectName”似乎不起作用的情况的任何人都有帮助。话虽如此 - 似乎这种行为并不是那么理想,我已经联系了 MSFT 以了解这是否是 WAD。
关于azure-ad-b2c - 如何将 NameID 元素读取为 SAML2 身份提供者的 B2C TechnicalProfile 中的声明?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52670606/
阅读自 http://en.wikipedia.org/wiki/SAML_2.0 ,我试图了解保证在流程的第 5 步中发送的 SAMLResponse 的真实性的机制。 根据我的理解,SAML 的设
是否可以在 SAML 身份验证请求中发送属性? https://sp.example.com/SAML2 最佳答案 从技术上讲,是的,这是可能的,因为 AuthnRequest 可
在阅读了一些文章和引用资料后,我发现它们实际上说明了什么是 SAML,它包含哪些组件,它是如何工作的。一些不错的链接如下: Good documentation about Shibboleth an
我看过一堆关于如何通过重定向在身份提供商 (IdP)、服务提供商 (SP) 和浏览器之间传递的流程图。然而,现在对我来说似乎没有必要,所以我知道我错过了一些东西。 有人可以向我提供一个使用案例,其中与
我需要在 SAML 请求中添加一个请求参数(例如 locale=en),以便让登录页面显示正确的语言。我怎么做? 我试图将属性添加到作为参数发送到开始方法 (SamlEntryPoint) 的 Htt
我在将我的应用程序与 SAML 集成时遇到问题。 以下是我的错误: org.springframework.security.saml.SAMLProcessingFilter.attemptAuth
我是 SAML 的新手,对预期的签名和信任过程感到困惑。 我正在编写一个 SP 并从 IDP 接收到一个签名的 samlp:Response,其中包括 KeyInfo:
ADFS 具有看似错误的意外行为。 我有使用 SHA1 哈希算法进行数字签名的 SP。 在此 SP 的 ADFS 上,我在高级选项卡上设置为使用 SHA256。 对我来说,这些不相关是正常的,每一方选
我正在使用 SAML 登录我的应用程序,我想在登录响应断言的属性中包含用户组。我想知道登录请求是否应指定该属性是必需的,或者这是一般需要在 IDP 上完成的配置,还是在专门为我的服务提供商的 IDP
我的任务是设计一个非常简单的 SSO(单点登录)流程。我的雇主已指定它应该在 SAML 中实现。我想在确认 SAML 规范的同时创建尽可能简单的消息。 如果你们中的一些人能查看我的请求和响应消息,并告
我们正在使用ruby-saml将我们的应用程序建立为服务提供商,同时使用 Google 作为身份提供商,尽管我不认为这个问题特定于 Ruby 或该项目。 我见过this answer from the
我们正在使用ruby-saml将我们的应用程序建立为服务提供商,同时使用 Google 作为身份提供商,尽管我不认为这个问题特定于 Ruby 或该项目。 我见过this answer from the
有人建议 SAML token 应该有效多长时间(在 SOA 基础架构中)?我想到了几个 (6-12) 小时。 非常感谢马库斯 最佳答案 让您的 token 拥有如此长的生命周期通常不是一个好主意,因
我对 SAML 证书的这个概念很陌生。 我目前正在为网站配置 SSO,需要知道如何生成 SAML 证书?我为本网站使用的设置不是通过 Azure,而是直接来自供应商网站,他们正在请求我的 SAML 证
我是 SAML 的新手。您能否用简单的英语解释一下什么是 SAML 配置文件和绑定(bind),并提供几个示例。 最佳答案 nrathus 在他的评论中指出,维基百科的 entry on SAML是一
我在 Keycloak Server 4.2.1 中使用 saml 协议(protocol)注销时遇到问题。在 Keycloak 旁边有一个 Wildfly 9 服务器。在 Wildfly 服务器中部
有人能解释一下 和有什么区别吗?收件人和 观众 在 SAML 2.0 中? 我在这里从 OneLogin 中找到了非常模糊的解释: https://support.onelogin.com/hc/en
我知道在 SAML 协议(protocol)中,IDP 和 SP 他们拥有自己的 key 对,并且不会将他们的私钥暴露给对方。 我假设下面的领域 key 是 IDP key 对,这是有道理的,因为私钥
场景: 浏览器(用户)向服务提供商 (SP) 请求资源。 SP 重定向(通过 SAML 请求)到身份提供商 (IdP)。 由于是首次登录,用户会向 (IdP) 提供他/她的有效凭据。 然后,IdP 将
JWT(Json Web Token)和 SAML 的主要区别是什么?请向我推荐任何带有 Spring 安全性的示例。提前致谢。 最佳答案 两个SAML和 JWT是不依赖于任何编程语言的安全 toke
我是一名优秀的程序员,十分优秀!