2

我们正在实施基于 SAML2 的 SSO 解决方案,并在 SP 端使用 PicketLink。

在 IDP 方面,我们有一个不同的实现,它被配置为输出多值memberOf属性(这些实际上是 LDAP/AD 组成员资格。所以我们在断言中基本上得到了类似的东西:

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ... >
    ...
    <saml:Assertion ...>
        ...
        <saml:AttributeStatement>
            <saml:Attribute FriendlyName="Role" Name="Role">
                <saml:AttributeValue>authenticated</saml:AttributeValue>
            </saml:Attribute>
            <saml:Attribute FriendlyName="memberOf" Name="memberOf">
                <saml:AttributeValue>CN=ga-A-102213-...</saml:AttributeValue>
                <saml:AttributeValue>CN=g-z-MeetingPlace,...</saml:AttributeValue>
                <saml:AttributeValue>CN=g-z-Serviceportal,...</saml:AttributeValue>
                <saml:AttributeValue>CN=g-z-BCM...</saml:AttributeValue>
                ...
            </saml:Attribute>
        </saml:AttributeStatement>
        ...
    </saml:Assertion>
</samlp:Response>

我的问题是,如何配置 PicketLink/JBoss 以将这些memberOf值映射到应用程序/SP 中的特定角色?

例如CN=g-z-MeetingPlace,...应该映射到ROLE_MEETINGCN=g-z-BCM...应该映射到ROLE_BCM. 我们可能可以编写一个登录模块来做到这一点,但对我来说这似乎是一项非常标准的任务。但是我还没有设法找到一个配置解决方案。

4

1 回答 1

2

好像我们已经想通了。

我们需要的是org.jboss.security.auth.spi.RoleMappingLoginModule

<login-module code="org.jboss.security.auth.spi.RoleMappingLoginModule"
  flag="optional"> 
  <module-option name="rolesProperties">roles.properties</module-option>
</login-module>

AD组名称和内部应用角色的映射在roles.properties文件中配置:

CN\=ga-A-102213-...=SomeInternalRole
于 2015-01-05T11:58:44.317 回答