ich irgendwie verstehen, wie grundlegende SAML-Authentifizierung funktionieren soll:SAML Anfrage Attribute In AuthnRequest
Benutzeranfrage Ressource bei SP
SP sendet Auth Anfrage an IDP
IDP Benutzer authentifiziert und sendet einige userId
SP Sends für weitere Details mit userId Abfrage IDP Attribut
IDP zurück sendet Attribute
SP gibt Ressource Benutzer
Mein Problem ist, können Sie jede mögliche Weise Bypass-Attribut eQuery. Wenn ich eine SAML 2.0-Anfrage an meinen Gluu/Shibboleth-Server mache, bekomme ich givenName
(Vorname) und sn
(Nachname) zurück. Gibt es sowieso ich kann inum
Benutzer-ID und E-Mail nur in der AuthnRequest anfordern?
Mein Wunsch ist ziemlich einfach:
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="MyPrefix1457456412304" Version="2.0" IssueInstant="2016-03-08T17:00:12Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST">
<saml:Issuer>me.com</saml:Issuer>
</samlp:AuthnRequest>
Anfrage ich zurück bin so etwas wie diese:
<?xml version="1.0" encoding="UTF-8"?>
<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_bff09cf745ea5722aac3f3ec57c0ecf3" IssueInstant="2016-03-08T17:01:06.140Z" Version="2.0">
<saml2:Issuer ....
<saml2:AttributeStatement>
<saml2:Attribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User</saml2:AttributeValue>
</saml2:Attribute>
<saml2:Attribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
ich den relevanten Teil der Spezifikation zu lesen, und es scheint, den Server zu sagen kann wirklich zurückgeben, was es will (und wie viele Attribute es will)? Meine Frage ist wieder, ob ich den SAML Gluu/Shibboleth-Server zwingen kann, mir bestimmte Attribute als Teil von AuthnRequest zurückzugeben.
Ich hasse dich ..... – jn1kk
@Mike git gut. – jn1kk