我正在运行Shibboleth SP(版本2.4.3),我的attribute-map.xml包含“mail”的默认映射
<!-- email -->
<Attribute name="urn:mace:dir:attribute-def:mail" id="mail"/>
<Attribute name="urn:oid:0.9.2342.19200300.100.1.3" id="mail"/>
客户端正在使用非Shibboleth IdP,并且他们无法将NameFormat定义为urn:oasis:names:tc:SAML:2.0:attrname-format:basic以外的任何其他内容。
根据Shibboleth wiki,如果IdP使用除urn:oasis:names:tc:SAML:2.0:attrname-format:uri或urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified之外的NameFormat,那么我必须在我自己的attribute-map.xml中定义NameFormat。
可以/应该添加第三个具有相同名称但是已定义“基本”nameFormat的Attribute节点吗?我不想破坏我与以标准Shibboleth方式做事的客户的现有集成。
<!-- email -->
<Attribute name="urn:mace:dir:attribute-def:mail" id="mail"/>
<Attribute name="urn:oid:0.9.2342.19200300.100.1.3" id="mail"/>
<Attribute name="urn:mace:dir:attribute-def:mail" id="mail" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"/>
答案 0 :(得分:1)
您可以在属性映射文件中添加任何属性,但必须确保idP在使用之前发送它。 它不会影响任何现有的连接。