是否可以在 SAML 响应中发送 AD 组 SID?如果是,如何实现,以便我们可以在 SP 中处理该 SID 值?
但是,在将 appuser.objectSid 配置文件映射到 user.manager(因为我们没有找到 user.objectSid)并将其添加到属性语句之后,我们能够在 SAML 响应中发送 AD 用户 SID。
是否有任何其他/更好的方法来获取 SAML 响应中的 AD 用户 SID 或以上是唯一的方法?
问问题
1227 次
1 回答
0
所以 - 你有两个问题:
1) 组 SID。Okta 确实有组 SID,但它没有作为 SAML 配置的一部分公开。您可以发送用户所属的组的名称,作为在应用程序向导的 SAML 配置中可配置的组属性语句的一部分 ( https://support.okta.com/help/articles/Knowledge_Article/Using -the-App-Integration-Wizard#Config_SAMLSettings )
2) 对于用户 SID,这是一个 2 部分设置。首先,您要向 Okta 用户配置文件添加自定义属性。这将允许您将 appuser.objectSid 从 AD 映射到此自定义属性 - 而不是重载一些没有意义的现有 okta 属性。然后在应用程序向导 SAML 配置中,您可以向 SAML 断言添加新属性并将其与新添加的自定义属性相关联。
组/用户属性语句配置都在此处完成(应用程序向导 SAML 配置屏幕截图)
希望这可以帮助。
于 2015-12-30T04:32:56.053 回答