Как изменить saml2p:NameIDPolicy, который wso2is отправляет в IdP?

Question

Как изменить saml2p:NameIDPolicy, который wso2is отправляет в IdP?

У меня есть WSO2IS 5.2, действующий в качестве центра федерации. AuthnRequest что он отправляет в IdP (в этом случае PingFederate) включает в себя это NameIDPolicy:

   <saml2p:NameIDPolicy AllowCreate="true"
                         Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"
                         SPNameQualifier="WSO2IS"
                         xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
                         />

После входа в систему на PingFederate он отправляет обратно сообщение SAML, включая это:

<samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
            <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy" />
        </samlp:StatusCode>
        <samlp:StatusMessage>Cannot provide requested name identifier qualified with WSO2IS</samlp:StatusMessage>
    </samlp:Status>

Я пробовал uid и mail NameID значения в PingFederate, но я всегда получаю этот ответ. Я хотел бы попробовать изменить формат NameIDPolicy, который отправляет wso2is, но не нашел способа сделать это. Я думаю, что это должен быть формат SAML:2.0.

Единственное, что я обнаружил, это флажок "Включить политику NameID" в настройках IdP, но он остается отмеченным, даже если я сниму флажок и сохраню.

Как изменить формат NameIDPolicy?

ОБНОВЛЕНИЕ: я решил проблему, включив идентификатор псевдонима в PingFederate и отправив имя пользователя в качестве атрибута. Тем не менее, было бы хорошо узнать ответ на мой вопрос.

0

saml-2.0 wso2is pingfederate

Источник

user1827453 15 дек '16 в 14:04

1 ответ

Другие вопросы по тегам saml-2.0 wso2is pingfederate

user5073493 15 дек '16 в 19:57 2016-12-15 19:57 · Answer 1 · 2016-12-15 19:57

Да, ваше понимание верно. Вы можете изменить NameIDPolicy, Вы можете найти его на странице создания поставщика услуг (SP). Перейти к консоли управления WSO2 IS, Home>service Provider>Add>,

После этого необходимо ввести имя для SP и нажать кнопку register кнопка.

Теперь вы находитесь на странице конфигурации поставщика услуг.

Идти к Inbound Authentication Configuration>SAML2 Web SSO Configuration>configure,

На этой странице вы можете настроить SAML2 Web SSO, а заголовок страницы будет отображаться как Register New Service Provider и перейти к NameID format изменить urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress вместо urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, Вы можете найти более подробную информацию в документации WSO2 [1].

[1] https://docs.wso2.com/display/IS500/Configuring+Single+Sign-On+with+SAML+2.0