我们运行 Shibboleth 身份提供程序,并且越来越多地被要求与使用非 Shibboleth SAML 解决方案的应用程序集成,并且在属性命名方面遇到困难。通过纯 Shibboleth IdP 和 SP 关系,我知道 IdP 可以使用断言中的任意属性名称将用户属性释放给服务提供者。服务提供者已被配置为使用 IdP 提供的名称接收特定属性,使用 attribute-map.xml 文件中的配置将来自 IdP 的属性重新映射为对服务提供者有用的属性名称。
我的问题是非 Shibboleth 服务提供商运营商,他们中的许多人拒绝重新映射从 IdP 发送的属性,而是要求在 IdP 上定义新属性(以携带现有属性中已经可用的值),使用由服务提供者所有者。这会导致 IdP 上的用户属性对象不必要地增长(在身份验证时),因为首先用值填充所有定义的属性,然后将它们过滤到仅批准发布给请求 SP 的那些属性。
Shibboleth Service Provider 中的属性映射功能是 SAML/SAML 2.0 规范/标准的一部分,还是 Shibboleth 开发人员引入的功能?如果它是 SAML 解决方案中标准关系/行为的一部分,有人可以指导我查阅权威标准文档吗?
我已经阅读了我在 OASIS 上可以找到的关于 SAML 标准的内容,但我找不到任何关于这种行为的信息。