我正在尝试通过在我的网站中作为服务提供商 (SP) 和 Okta env 实现 SAML 2.0 来与 Okta SSO 集成。作为我的身份提供商 (IDP) 我无法理解如何配置我的 IDP 以返回每个身份验证请求、用户所在的组。如何完成?
此外,是否可以在我的 IDP 中拥有服务帐户,以便我的后端可以直接询问 IDP 用户是否属于某个特定组?
最佳答案
可以通过在 Okta 管理仪表板中正确配置 SP 应用程序来将组添加到 SAMLResponse。
要对现有应用执行此操作,请转到管理面板并编辑 SAML 设置以包含组属性语句。
例如,如果您想向 SP 公开包含单词 admin 的所有组,请添加一个具有正确名称的字段(即组)并指定一个带有值的 regex 过滤器.*admin.*.
正确配置后,SAMLResponse 将包含以下节点:
<saml2p:Response
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
......
......
<saml2p:Status
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol">
<saml2p:StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</saml2p:Status>
<saml2:Assertion
......
......
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
<saml2:AttributeStatement
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
<saml2:Attribute
Name="groups"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">admins_group_1
</saml2:AttributeValue>
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">it_admins
</saml2:AttributeValue>
</saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
</saml2p:Response>
请注意,组将包含所有包含单词 admin 的组,无论是 Okta 组、AD 组等。
关于saml-2.0 - 获取 Okta 中与用户关联的组列表,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35893311/