Question

我们使用ADFS允许用户登录Artifactory，基本上它工作正常。问题是，群组成员身份无法识别。谁能告诉我这是什么问题？

使用Artifactory Pro 5.4.4 ADFS 3.0

用于将信息传输到Artifactory的XML（我也包含了mail属性，但工作正常）

<Attribute Name="memberOf">
 <AttributeValue>CN=some_group_the_user_is_in,OU=...</AttributeValue>
 <AttributeValue>CN=my_artifactory_group,OU=..</AttributeValue>
 <AttributeValue>CN=some_other_group,OU=...</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
  <AttributeValue>x@y.com</AttributeValue>
</Attribute>

我没有直接访问ADFS，我真的没有经验。负责人说他不能过滤组以显示Artifactory中的一个重要组，因此有一个组列表，一个或两个可能在Artifactory中使用，他也不能更改属性名称。

Artifactory中的SAML设置是：组属性：“memberOf” 电子邮件属性：“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”

其他SAML工作正常。用户“只是”错过了他们的小组 - 这最终使整个事情变得毫无用处，因为每个新用户都必须手动分配，这显然对近200名用户来说并不实用

有人可以帮忙吗？

Answer 1

遇到同样的事情，我花了一些时间对其进行故障排除。首先，您已经正确设置了SAML设置。您需要做的是在人工产品中创建一个组，其确切ID与SAML中指定的ID相同。对于您的情况，您将必须创建：

CN=some_group_the_user_is_in,OU=...
CN=my_artifactory_group,OU=..
CN=some_other_group,OU=...

我认为这些不是您小组的真实姓名，但是我从您的问题中逐字复制了它们。

然后，您需要为您的网上论坛授予适当的权限，以便能够浏览适当的存储库。提醒您，SAML组关联允许用户根据其权限浏览Artifactory。如果您要从开发人员机器而不是用户Artifactory密码运行构建，则不允许他们使用关联使用生成的令牌访问工件。他们的支持承诺在2018年第四季度提供后者缺少的功能。这是与missing feature相关的JIRA问题。

Answer 2

我也通过在 Artifactory 实例上设置它来解决这个问题。

如前所述，SAML SSO 仅在 ui 界面和后台同步用户组。这意味着用户不会被添加到他在身份提供者中分配到的组中。

JFrog 现在提供 SCIM 功能，该功能仅适用于其 JFrog 平台的企业版（截至 2021 年 6 月 16 日）。此功能的工作方式类似于 SAML SSO，但还可以同步用户组，因此也可以通过 API 使用，这意味着在开发人员机器的构建期间。

Artifactory：SAML SSO组匹配不起作用

2 个答案: