I tipi di capire come base l'autenticazione SAML dovrebbe funzionare: risorsa richiestaSAML Richiesta attributi in AuthnRequest
utente a SP
SP invia la richiesta di autenticazione per IDP
IDP autentica dell'utente e invia indietro alcuni userId
SP mandate attribuire query per IDP per ulteriori dettagli con userId
IDP rimanda attributi
SP dà utente risorsa
Il mio problema è, si può qualsiasi Attribut modo bypass equery. Quando faccio una richiesta SAML 2.0 al mio server di test Gluu/Shibboleth, torno givenName
(firstname) e sn
(lastname). È possibile richiedere l'ID utente e l'e-mail inum
solo in AuthnRequest?
La mia richiesta è abbastanza semplice:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="MyPrefix1457456412304" Version="2.0" IssueInstant="2016-03-08T17:00:12Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST">
<saml:Issuer>me.com</saml:Issuer>
</samlp:AuthnRequest>
Richiesta torno è qualcosa di simile:
<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_bff09cf745ea5722aac3f3ec57c0ecf3" IssueInstant="2016-03-08T17:01:06.140Z" Version="2.0">
<saml2:Issuer ....
<saml2:AttributeStatement>
<saml2:Attribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
Ho letto la parte rilevante della specifica, e sembra dire il server può restituire ciò che vuole veramente (e quanti attributi vuole)? Ancora una volta, la mia domanda è se posso forzare il server SAML Gluu/Shibboleth a restituirmi attributi specifici come parte di AuthnRequest.
Ti odio ..... – jn1kk
@Mike va bene. – jn1kk