将用户从ADFS导入openam

时间:2012-10-25 09:34:50

标签: adfs2.0 openam

如何将用户从ADFS服务器导入openam。我提到了这个文档

https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration

他们说ADFS服务器上的用户必须出现在openam上。但是如果

我在ADFS上创建了数千个用户,然后无法在openam.so上手动创建它们

有任何方法可以通过访问openam url

将用户从adfs服务器导入openam

即通过openam GUI或从java应用程序。

谢谢,

3 个答案:

答案 0 :(得分:1)

好的 - 该文件令人困惑。

IP和SP之间的区别在于只有IP具有凭证存储(在这种情况下为AD)。

因此用户只需存在于AD中。

如果查看图表,网络A中没有凭据存储。

这就是联邦的重点。

<强>更新

道歉 - 我似乎让一些人感到困惑。

该文章引用了Account Linking,但根据Using AD FS 2.0 for interoperable SAML 2.0-based federated Web Single Sign-On

“AD FS 2.0不支持帐户链接方案。这种方案仍然可以通过适当的传入策略以某种方式实现。”

对于联邦,这里有一篇好文章:

ForgeRock OpenAM 9.5.3 and AD FS 2.0 Integration : Part 1

但请注意,这将使用OpenAM作为SAML 2.0身份提供程序(IdP)和AD FS 2.0作为SAML 2.0服务提供程序(SP)。

本文分为三部分 - 全部都在博客中。

答案 1 :(得分:0)

实际上OpenAM不存储用户帐户,它们存储在所谓的Identity Repository中(目前主要使用的是LDAP Directory Server,RDBMS还存在一些问题)。

您可以从AD检索数据并将其导入Identity Repository。

但是,如果您拥有ADFS和OpenAM,为什么不让OpenAM通过将其配置为Identity Repository来使用AD中的标识?你可以在openam用户别名上搜索...那里有很多解释。

答案 2 :(得分:0)

关于SP和IdP ...用户仅在IdP处被认证,但用户可能存在于SP侧的不同帐户下。联盟/ SAML的一部分是“帐户链接”(不仅是单点登录),因此SP和IdP端可以存在身份(用户帐户)