standards - 服务提供商属性映射的 SAML 标准

Question

我们运行一个 Shibboleth 身份提供商，并且越来越多地被要求与使用非 Shibboleth SAML 解决方案的应用程序集成，并且在属性命名方面遇到困难。通过纯粹的 Shibboleth IdP 和 SP 关系，我知道 IdP 可以在断言中使用任意属性名称将用户属性发布给服务提供商。服务提供商已配置为使用 IdP 提供的名称接收特定属性，使用 attribute-map.xml 文件中的配置将来自 IdP 的属性重新映射到对服务提供商有用的属性名称。

我的问题是非 Shibboleth 服务提供商运营商，他们中的许多人拒绝重新映射从 IdP 发送的属性，而是要求在 IdP 上定义新属性(以携带现有属性中已经可用的值)，使用服务提供商所有者指定的名称。这会导致 IdP 上的用户属性对象不必要地增长(在身份验证时)，因为所有定义的属性都首先填充了值，然后它们被过滤为仅批准发布给请求 SP 的那些属性。

Shibboleth 服务提供商中的属性映射功能是 SAML/SAML 2.0 规范/标准的一部分，还是 Shibboleth 开发人员引入的功能？如果它是 SAML 解决方案中标准关系/行为的一部分，有人可以指导我查看权威标准文档吗？

我已经通读了可以在 OASIS 上找到的有关 SAML 标准的内容，但找不到有关此行为的任何内容。

Answer 1

属性映射是一个特定于应用程序的功能。

SAML 规范详细说明了消息交换和 XML 模式等内容，而不是软件应提供的功能或应如何组织 IdP 和 SP 之间的双边安排。它们与 SAML 规范无关。对不起。

请注意，有许多其他 SAML 产品提供类似的属性映射功能，而不仅仅是 shibboleth 这样做。我想这里的问题是服务提供商认为他们的要求比您的要求更重要，并且不准备破例。要么，要么他们不知道怎么做。