ADFS サーバーから openam にユーザーをインポートする方法。このドキュメントを参照しました
https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+構成
ADFSサーバーに存在するユーザーはopenamに存在する必要があると彼らは言っています.しかし、
ADFSで作成された何千ものユーザーがいますが、openam.soで手動で作成できません
openam url にアクセスして、adfs サーバーから openam にユーザーをインポートする方法はありますか
つまり、openam GUI を介して、または Java アプリから。
ありがとう、
OK - そのドキュメントは紛らわしいです。
IP と SP の違いは、IP だけが資格情報ストア (この場合は AD) を持つことです。
したがって、ユーザーは AD に存在するだけで済みます。
図を見ると、ネットワーク A には資格情報ストアがありません。
それが連合の要点です。
アップデート:
申し訳ありません - 私は何人かの人々を混乱させたようです.
この記事ではアカウント リンクについて言及していますが、「相互運用可能な SAML 2.0 ベースのフェデレーション Web シングル サインオンに AD FS 2.0 を使用する」に従っています。
「AD FS 2.0 は、アカウント リンクのシナリオをサポートしていません。このようなシナリオは、適切な受信ポリシーを使用して何らかの方法で実現できます。」
フェデレーションについては、ここに良い記事があります。
ForgeRock OpenAM 9.5.3 と AD FS 2.0 の統合 : パート 1
ただし、これは OpenAM を SAML 2.0 ID プロバイダー (IdP) として使用し、AD FS 2.0 を SAML 2.0 サービス プロバイダー (SP) として使用することに注意してください。
この記事は 3 つの部分で構成されており、すべてブログに掲載されています。
SP と IdP について ... ユーザーは IdP でのみ AUTHENTICATED ですが、ユーザーは SP 側で別のアカウントに存在する場合があります。フェデレーション/SAML の一部は「アカウント リンク」(シングル サインオンだけではない) であるため、ID (ユーザー アカウント) は SP および IdP 側に存在できます。
実際、OpenAM はユーザー アカウントを保存しません。いわゆる ID リポジトリに保存されます (現在、主に使用されているのは LDAP ディレクトリ サーバーであり、RDBMS にはまだいくつかの問題があります)。
AD からデータを取得し、ID リポジトリにインポートできます。
ただし、ADFS と OpenAM を所有している場合は、ID リポジトリとして構成することで、OpenAM に AD からの ID を消費させてみませんか? openam ユーザー エイリアスで検索できます。そこにはたくさんの説明があります。