1

私は、Shibboleth SSO インタラクションでサービス プロバイダーとして活動しています。内部に期待される属性を含む SAML 応答を正常に取得しています。ただし、これらの属性は /Shibboleth.sso/Session Attributes リストに表示されません。

shibboleth.xml ファイルに<MetadataProvider>タグがあります。他に何が間違っているのだろうか?

shibd.log には次のように表示されます。

skipping unmapped SAML 2.0 Attribute with Name: xxxx, Format:urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
skipping unmapped SAML 2.0 Attribute with Name: yyyy

編集 - attribute-map.xmlにも追加しました:

<Attribute Name="xxxx" id="xxxx" />
<Attribute Name="yyyy" id="yyyy" />

属性には、IdP の metadata.xml に完全修飾名がありません。名前は「xxxx」と「yyyy」だけです。これは問題ですか?

最後に、IdP のmetadata.xml には、次のように記述されています。

<saml:Attribute Name="xxxx" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"/>
<saml:Attribute Name="yyyy" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"/>
4

2 に答える 2

1

Shibboleth のドキュメントから:

SAML V2.0 LDAP/X.500 属性プロファイルは、X.500/LDAP 属性が urn:oid 名前空間を利用して命名されることを指定します。これらの名前は、文字列 urn:oid の後に属性に定義された OID を使用して単純に作成されます。

したがって、属性名には必ず OID を使用する必要があります。attribute-map.xml には多くの例があります。

一部の IdP に固有のカスタム属性については、使用する OID を提供する必要があります。

于 2013-09-14T04:21:15.247 に答える
0

私はそれを解決したと信じています。attribute-map.xml に次を追加する必要がありました。

<Attribute name="xxxx" id="xxxx">
  <AttributeDecoder xsi:type="NameIDAttributeDecoder" formatter="$Name" defaultQualifiers="true"/>
</Attribute>
<Attribute name="yyyy" id="yyyy">
  <AttributeDecoder xsi:type="NameIDAttributeDecoder" formatter="$Name" defaultQualifiers="true"/>
</Attribute>

ここを参照してください: NativeSPAttributeDecoder

于 2013-09-18T14:38:57.843 に答える