在此设置中,OKTA 是 IdP,Shibboleth 是 SP。 OKTA 正在传递属性“角色”,例如 idp_dev_SLAN_Power、idp_dev_SLAN_Admin、idp_dev_SLAN_account 等
我想知道当它使用这个属性时我是否可以去掉'idp_dev_SLAN_'。
这是我在当前属性-map.xml 中看到的内容。
<Attribute id="roles" name="roles" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" />
我觉得我可以用 AttributeDecoder 做点什么。有什么想法吗??
【问题讨论】:
标签: attributes shibboleth
我想您可能正在寻找Transform 类型的AttributeResolver,其中:
将一个或多个正则表达式应用于输入属性,替换其值或生成新属性。 -- 来自Shibboleth Wiki
举个例子:
<AttributeResolver type="Transform" source="displayName">
<Regex match="^(.+) (.+)$" dest="givenName">$1</Regex>
<Regex match="^(.+) (.+)$" dest="sn">$2</Regex>
<Regex match="^(.+) (.+)$">$2, $1</Regex>
</AttributeResolver>
将displayName 转换为两个属性givenName 和sn。但我确信您可以构建一个正则表达式来获取各种入站元素的 idp_dev_SLAN_,并将它们映射到您想要的 1 个或多个属性。
【讨论】: