我開發了一個自定義Web應用程序(WAR),需要從請求對象中檢索SAML響應並從中提取用戶配置文件屬性。部署在同一個在WebSphere(服務提供商)如何在TAI和ACS在SSO期間處理它之後訪問SAML響應
試圖執行下面的方法,其特徵在於:: - OneLogin(身份提供者)發送SAML響應和中繼狀態 - 該SAML響應由ACS應用 處理 - 的ACS應用程序將用戶重定向到自定義Web應用程序(在IdP的RelayState中設置) - 此應用程序將從請求中檢索SAML響應對象,使用用戶配置文件屬性填充動態緩存並將用戶重定向到主應用程序主頁。
當ACS重定向到自定義Web應用程序(在繼電器狀態中設置)時,SAML響應(曾經由WebSphere TAI和ACS應用程序接收和處理)似乎不可用。是否有可能將ACS應用程序的SAML響應保留並傳遞到自定義Web應用程序?
任何幫助/指針,將不勝感激。
親切問候, Ekansh
謝謝。如果用戶存在兩端(IdP和SP),我可以從SAML令牌提取SAML屬性。但是當用戶確實存在於SP端並且需要創建時,情況如何呢?在這種情況下,即使ACS未授權訪問,SAML令牌仍會存在。因爲用戶特定的信息(例如:用戶名,電子郵件等)出現在SAML令牌中,所以我需要同樣爲這種情況創建一個新用戶 –
WebSphere SAML SP有兩個配置選項。缺省情況下,用戶不必在SP中存在,並使用受信任的SAML令牌創建主題。另一種選擇是用戶必須在SP中。如果用戶需要在SP中,並且用戶不在SP中,我們在創建主題前爲您提供SPI創建用戶帳戶。要創建用戶帳戶,請實現com.ibm.wsspi.security.web.saml.NameIDMapping接口。在實施過程中,您可以根據需要從SAML令牌創建用戶輸入。在TAI配置中,您可以通過添加sso_1.sp.userMapImpl =來使用屬性來配置此SPI。 – Chunlong
謝謝春龍。但我對此有疑問。目前我正在使用WAS 8.0.0.4。你提到的「DEFAULT CONFIGURATION OPTION」是「sso_ .sp.idMap」嗎? –