1

如何将用户从 ADFS 服务器导入到 openam。我参考了这个文档

https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration

他们说 ADFS 服务器上存在的用户必须存在于 openam 上。但是如果

我在 ADFS 上创建了数千个用户,然后无法在 openam.so 上手动创建它们

有什么方法可以通过访问 openam url 将用户从 adfs 服务器导入到 openam

即通过openam GUI 或从java 应用程序。

谢谢,

4

3 回答 3

1

好的 - 该文件令人困惑。

IP 和 SP 之间的区别在于,只有 IP 具有凭证存储(本例中为 AD)。

所以用户只需要存在于AD中。

如果查看图表,网络 A 中没有凭证存储。

这就是联邦的全部意义所在。

更新:

道歉 - 我似乎让一些人感到困惑。

那篇文章指的是帐户链接,但根据Using AD FS 2.0 for interoperable SAML 2.0-based federated Web Single Sign-On

“AD FS 2.0 不支持帐户链接方案。这种方案仍然可以通过适当的传入策略以某些方式实现。”

对于联邦,这里有一篇很好的文章:

ForgeRock OpenAM 9.5.3 和 AD FS 2.0 集成:第 1 部分

但请注意,这着眼于使用 OpenAM 作为 SAML 2.0 身份提供者 (IdP) 和 AD FS 2.0 作为 SAML 2.0 服务提供者 (SP)。

本文分为三个部分 - 全部在博客中。

于 2012-10-26T05:02:28.683 回答
0

实际上 OpenAM 不存储用户帐户,它们存储在所谓的身份存储库中(目前主要使用的是 LDAP 目录服务器,RDBMS 还存在一些问题)。

您可以从 AD 检索数据并将其导入身份存储库。

但是,如果您拥有 ADFS 和 OpenAM,为什么不让 OpenAM 通过将其配置为身份存储库来使用 AD 中的身份?您可以搜索 openam 用户别名……那里有很多解释。

于 2012-10-26T06:40:32.060 回答
0

关于 SP 和 IdP ...用户仅在 IdP 处进行身份验证,但用户可能存在于 SP 端的不同帐户下。联邦/SAML 的一部分是“帐户链接”(不仅仅是单点登录),因此身份(用户帐户)可以存在于 SP 和 IdP 端

于 2012-10-26T06:44:09.767 回答