SAMLとWSO2についての私の理解は非常に基本的なものなので、事前に申し訳ありません。SSOサービスへのアクセスをユーザーのサブセットに制限できるかどうか疑問に思っていますか?
2 に答える
はい、SAMLSSOサービスプロバイダーへのアクセスをユーザーのサブセットに制限できます。これは確かに承認要件です。サービスプロバイダーがユーザーをIDプロバイダー(この場合はWSO2 Identity Server)にリダイレクトすると、サービスプロバイダーはIdentity Serverにユーザーに関するクレーム(役割、電子メール、年齢、国などのクレーム)を要求できます。次に、IDプロバイダーでのユーザーの認証が成功した後、IDプロバイダーはそれらのクレーム値をSAML応答メッセージとともにSSOサービスプロバイダーに送信します。SSOサービスプロバイダーは、これらのクレームを読み取り、ユーザーにサービスへのアクセスを許可するかどうかを決定できます。(たとえば、役割の主張を見ると、使用に特定の役割がある場合、SSOサービスプロバイダーは、拒否しない場合でもユーザーを許可します)
SAML仕様によれば、IDプロバイダーはエラー状態を返すことができると思います。SAMLResponseには、この->ステータス専用の要素があります。しかし、私が知る限り、WSO2 Identity Server(5.0.0まで)はこの動作を自動的にサポートしていません。この動作を実現するには、WSO2認証コードを変更する必要があります...
出典: SAML 2.0の概要-1131行目、章:3.2.2.2要素
<samlp:Response
...<saml:Issuer>https://idp.example.org/SAML2</saml:Issuer>
<samlp:Status>
<samlp:StatusCode
**Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>**
</samlp:Status>
<saml:Assertion ...
成功の代わりに、IdPは次を返すことができます:urn:oasis:names:tc:SAML:2.0:status:AuthnFailedまたは同様の...参照: SSOエラーを処理するSAML2.0