我已经使用 spring SAML 实现了 SSO,我想知道是否有任何方法可以请求 IDP(在我的情况下为ssocircle.com)向我发送其他属性以及它已经发送的 nameID。假设我希望 IdP 向我发送成功通过身份验证的人的 accountID。我搜索了很多,发现了一些建议,例如:
覆盖WebSSOProfileImpl .java 中的getAuthnRequest方法,以便发送到 IdP 的 authnRequest 具有此属性集。但我不知道如何继续这个?我是否也应该使用这个额外的属性名称和格式来修改我的 SP 元数据?如果是,我该怎么做?或者可以用 RelayState 参数做些什么?在这方面的任何帮助将不胜感激。
谢谢,
阿比拉什
阿比拉什,
要提供给 SP 的属性通常在 IDP 端以特定于供应商的方式进行配置。
您可以通过在https://idp.ssocircle.com/sso/UI/Login登录到您的帐户来配置 SSO Circle 以发送其他属性,选择管理元数据,按“添加新的服务提供商”(如果先删除现有的存在)并确保在“属性在断言中发送(可选)”部分中检查要在 AuthnRespose 中发送的 SAML 属性。SSO Circle 目前仅支持属性 FirstName、LastName 和 EmailAddress。
SP 可以使用元素 RequestedAttribute 在其元数据中通告 IDP 需要提供的属性。IDP 和 SP 实现对这种机制的支持可能会有所不同。SAML 协议还允许 SP 通过在 AuthnRequest 中包含属性 AttributeConsumingServiceIndex 来建议 IDP 发送哪些属性,但通常不支持此功能。一些自定义 SAML 配置文件使用 AuthnRequest 的 Extensions 元素定义自定义方式来执行此操作。
干杯,弗拉基米尔·谢弗