为 SAML 2.0 联合中的一个 SP 生成自定义属性 - 身份

Posted

技术标签:

【中文标题】为 SAML 2.0 联合中的一个 SP 生成自定义属性 - 身份【英文标题】:Generate custom attribute for one SP in a SAML 2.0 Federation - Identity 【发布时间】:2012-12-31 07:05:31 【问题描述】:

我们有一个 SAML 2.0 联合环境(IDP 和 SP)。我想为仅为一个 SP 创建的断言生成自定义属性。因此,我不会修改 IDP 配置。

我们需要创建的 SAML 断言的 sn-p:

NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" > Name="urn:oasis:names:tc:SAML:2.0:profiles:attribute:DCE:groups">

xsi:type="xsd:string">ABCD

根据SAML2规范,我们需要修改SP扩展元数据来提供这个属性。常量字符串“ABCD”是我们要发送的属性。我已经这样修改了,但没有结果。谁能提供见解?

 < Value>urn:oasis:names:tc:SAML:2.0:attrname-format:uri|ABCD</Value>

属性>

也试过了:

 < Value>"ABCD"</Value>

属性>

【问题讨论】:

您的 IDP 是否配置为提供此属性? 不,我不想修改 IDP。我有 5 个 SP,这个属性只适用于一个 SP。 【参考方案1】:

查看元数据规范,您似乎使用以下语法来定义您希望 IDP 提供的属性。当然,IDP 必须配置为允许将此类属性导出到..

<AttributeConsumingService>
   <ServiceName xml:lang="en">youname</ServiceName>
   <RequestedAttribute 
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:theformat"
      Name="theAttributeName"
      FriendlyName="humanReadableName"/>
</AttributeConsumingService>

此规范在第 21 页 https://www.oasis-open.org/committees/download.php/35391/sstc-saml-metadata-errata-2.0-wd-04-diff.pdf

【讨论】:

以上是关于为 SAML 2.0 联合中的一个 SP 生成自定义属性 - 身份的主要内容,如果未能解决你的问题,请参考以下文章

为已通过身份验证的用户向 SP 发起 SAML 2.0 发布

.Net 4.5 标准中的 SAML 2.0 协议支持

ADFS 2.0 中的 SAML 2 签名错误

Shibboleth SP 是 SAML 2.0 的实现吗?

SAML 2.0 单次注销问题 - IdP 应如何终止在不同用户代理中运行的 SP 会话?

SAML 2.0 实例分析 idp向sp发送响应