OpenAM - SAML、自动联合和自助服务密码重置
OpenAM - SAML, Auto federation and Self Service Password Reset
我需要在这里集思广益,因为我认为我可能误解了整个 SAML 联合要点。
关于上下文的一些细节:
- OpenAM 托管 SAML SP;
- 在信任圈中,我添加了 https://samltest.id 作为测试 IdP;
- OpenAM 配置为动态创建本地用户,因为管理员必须能够为联合用户设置一些属性,比方说仪表板条目或组成员资格;
- 我启用了 AutoFederation 并设置了用户属性映射。
联合工作正常 - IdP 用户已正确登录并映射到现有或刚刚创建的 Data Store 用户。当在 Data Store 上创建远程用户时,OpenAM 会分配一个用户不知道的随机密码,因此远程用户只能通过 IdP 登录。
现在,包括远程用户在内的所有用户都可以访问控制台并设置自己的密码。为了防止这种情况,我将 userPassword 设置为受保护的属性,这样如果用户不知道他们当前的密码,他们就无法更改它。
但是我注意到 用户可以为通过联合机制提供的帐户请求密码重置 - 这意味着他们可以更改其帐户的密码,然后通过本地登录机制。
我错过了什么吗?验证远程用户时是否会出现这种行为?如何以允许我将本地用户与远程用户分开的方式设置所有内容?
我想我解决了这个问题。我修改了组织身份验证配置以使用包含 LDAP 模块的新链,而不是使用 DataStore 模块的默认 ldapService。我可以通过检查 LDAP 存储上的特定属性来区分联合用户和本地用户,因此我修改了 LDAP 模块以应用不包括联合用户的用户搜索过滤器,现在他们不再可以使用恢复密码解决方法在本地进行身份验证.
我需要在这里集思广益,因为我认为我可能误解了整个 SAML 联合要点。
关于上下文的一些细节:
- OpenAM 托管 SAML SP;
- 在信任圈中,我添加了 https://samltest.id 作为测试 IdP;
- OpenAM 配置为动态创建本地用户,因为管理员必须能够为联合用户设置一些属性,比方说仪表板条目或组成员资格;
- 我启用了 AutoFederation 并设置了用户属性映射。
联合工作正常 - IdP 用户已正确登录并映射到现有或刚刚创建的 Data Store 用户。当在 Data Store 上创建远程用户时,OpenAM 会分配一个用户不知道的随机密码,因此远程用户只能通过 IdP 登录。
现在,包括远程用户在内的所有用户都可以访问控制台并设置自己的密码。为了防止这种情况,我将 userPassword 设置为受保护的属性,这样如果用户不知道他们当前的密码,他们就无法更改它。
但是我注意到 用户可以为通过联合机制提供的帐户请求密码重置 - 这意味着他们可以更改其帐户的密码,然后通过本地登录机制。
我错过了什么吗?验证远程用户时是否会出现这种行为?如何以允许我将本地用户与远程用户分开的方式设置所有内容?
我想我解决了这个问题。我修改了组织身份验证配置以使用包含 LDAP 模块的新链,而不是使用 DataStore 模块的默认 ldapService。我可以通过检查 LDAP 存储上的特定属性来区分联合用户和本地用户,因此我修改了 LDAP 模块以应用不包括联合用户的用户搜索过滤器,现在他们不再可以使用恢复密码解决方法在本地进行身份验证.