如何将用户从ADFS服务器导入openam。我提到了这个文档
https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration
他们说ADFS服务器上的用户必须出现在openam上。但是如果
我在ADFS上创建了数千个用户,然后无法在openam.so上手动创建它们
有任何方法可以通过访问openam url
将用户从adfs服务器导入openam即通过openam GUI或从java应用程序。
谢谢,
答案 0 :(得分:1)
好的 - 该文件令人困惑。
IP和SP之间的区别在于只有IP具有凭证存储(在这种情况下为AD)。
因此用户只需存在于AD中。
如果查看图表,网络A中没有凭据存储。
这就是联邦的重点。
<强>更新强>
道歉 - 我似乎让一些人感到困惑。该文章引用了Account Linking,但根据Using AD FS 2.0 for interoperable SAML 2.0-based federated Web Single Sign-On:
“AD FS 2.0不支持帐户链接方案。这种方案仍然可以通过适当的传入策略以某种方式实现。”
对于联邦,这里有一篇好文章:
ForgeRock OpenAM 9.5.3 and AD FS 2.0 Integration : Part 1
但请注意,这将使用OpenAM作为SAML 2.0身份提供程序(IdP)和AD FS 2.0作为SAML 2.0服务提供程序(SP)。
本文分为三部分 - 全部都在博客中。
答案 1 :(得分:0)
实际上OpenAM不存储用户帐户,它们存储在所谓的Identity Repository中(目前主要使用的是LDAP Directory Server,RDBMS还存在一些问题)。
您可以从AD检索数据并将其导入Identity Repository。
但是,如果您拥有ADFS和OpenAM,为什么不让OpenAM通过将其配置为Identity Repository来使用AD中的标识?你可以在openam用户别名上搜索...那里有很多解释。
答案 2 :(得分:0)
关于SP和IdP ...用户仅在IdP处被认证,但用户可能存在于SP侧的不同帐户下。联盟/ SAML的一部分是“帐户链接”(不仅是单点登录),因此SP和IdP端可以存在身份(用户帐户)