用于断言的 SAML 2.0 格式属性 - 联合身份

Posted 2023-02-19

【中文标题】用于断言的 SAML 2.0 格式属性 - 联合身份

【英文标题】：SAML2.0 formated attribute for assertion - Federation Identity

【发布时间】：2012-12-31 09:58:04

【问题描述】：

我们有一个 SAML 2.0 联合环境（IDP 和 SP）。我想为仅为一个 SP 创建的断言生成自定义属性。因此，我不会修改 IDP 配置。

我们需要创建的 SAML 断言的 sn-p：

NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" > Name="urn:oasis:names:tc:SAML:2.0:profiles:attribute:DCE:groups">

xsi:type="xsd:string">ABCD

根据SAML2规范，我们需要修改SP扩展元数据来提供这个属性。常量字符串“ABCD”是我们要发送的属性。我已经这样修改了，但没有结果。谁能提供见解？

 < Value>urn:oasis:names:tc:SAML:2.0:attrname-format:uri|ABCD</Value>

属性>

也试过了：

 < Value>"ABCD"</Value>

属性>

【问题讨论】：

Generate custom attribute for one SP in a SAML 2.0 Federation - Identity的可能重复

【参考方案1】：

查看元数据规范，您似乎使用以下语法来定义您希望 IDP 提供的属性。当然，必须将 IDP 配置为允许将此类属性导出到..

<AttributeConsumingService>
   <ServiceName xml:lang="en">youname</ServiceName>
   <RequestedAttribute 
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:theformat"
      Name="theAttributeName"
      FriendlyName="humanReadableName"/>
</AttributeConsumingService>

此规范在第 21 页 https://www.oasis-open.org/committees/download.php/35391/sstc-saml-metadata-errata-2.0-wd-04-diff.pdf