我能够获得用户所属的用户组。只有在将用户分配到一个组时,我才能得到此信息。我使用以下搜索过滤器来获取组:
及(objectClass的=是groupofNames)(构件= CN = $ {用户名},OU =用户,DC =例如,DC = COM)
此过滤器在openLDAP ldapsearch中完美运行。但是在Ping federate中,当我尝试为一个用户获得多个组时,它会给我null。
如果有其他方法可以实现,请告诉我。
谢谢, Aswini J
答案 0 :(得分:2)
不幸的是,使用OpenLDAP是不可能的,因为您的过滤器返回的对象超过1个(多个组都有一个唯一的DN)。如果您查看OpenLDAP日志,很可能会返回超过" sizelimit超过"消息到PingFederate,因为PF明确指示LDAP服务器只返回1个对象。将PingFederate与Active Directory以外的目录一起使用并返回组列表时,这是一个常见问题。您可以在此处查看有关此类错误的更多信息 -
https://ping.force.com/Support/PingIdentityArticle?id=kA340000000GsD6CAK
如果OpenLDAP能够以与AD类似的方式管理组和组成员身份,那么您应该能够在尝试时将组列表返回到PingFederate。