我们运行Shibboleth身份提供程序,并且越来越多地要求使用非Shibboleth SAML解决方案与应用程序集成,并且在属性命名方面遇到困难。使用纯粹的Shibboleth IdP& SP关系,我知道IdP可以使用断言中的任意属性名称向服务提供者释放用户属性。服务提供商已配置为使用IdP提供的名称接收特定属性,使用attribute-map.xml文件中的配置将IdP中的属性重新映射到对服务提供者有用的属性名称。
我的问题在于非Shibboleth服务提供商运营商,其中许多人拒绝重新映射从IdP发送的属性,而是要求在IdP上定义新属性(以承载现有属性中已有的值),服务提供商所有者指定的名称。这会导致IdP上的用户属性对象不必要地增长(在身份验证时),因为所有已定义的属性首先填充值,然后将它们过滤到仅批准发布到请求SP的那些属性。
属性映射功能是否存在于Shibboleth服务提供程序中,是SAML / SAML 2.0规范/标准的一部分,还是由Shibboleth开发人员引入的功能?如果它是SAML解决方案中标准关系/行为的一部分,有人可以将我引导到权威标准文档吗?
我已经阅读了我在OASIS上可以找到的有关SAML标准的内容,但我找不到任何有关此行为的内容。
答案 0 :(得分:2)
属性映射是特定于应用程序的功能位。
SAML规范详细介绍了消息交换和XML模式,而不是软件应该提供的功能,或者应该如何组织IdP和SP之间的双边安排。它们与SAML规范无关。遗憾。
请注意,还有很多其他SAML产品提供类似的属性映射功能,它不仅仅是shibboleth。我想这里的问题是服务提供商认为他们的要求比你的要求更重要,并且不准备做出例外。无论是那个还是他们都不知道如何。