OpenAM SAML2 瞬态联合和持久联合答案

【问题标题】：OpenAM SAML2 Transient Federation and Persistent FederationOpenAM SAML2 瞬态联合和持久联合
【发布时间】：2020-03-09 16:04:13
【问题描述】：

是否适用于将 OpenAM 服务提供商配置为同时支持来自不同 IDP 的 SAML2 瞬态联合和持久联合，我们如何配置？

（注意：现在我们没有在 SP 中存储用户身份）

如果我们同时实现 SAML2 瞬态联合和持久化，它是否也适用于将来自不同 IDP 的 SAML 响应中的不同 SAML 断言属性映射到 OpenAM 服务提供商中的相同属性。

示例：如果 IDP1 发送“用户电子邮件”，如“UserEmail” 和 IDP2 像“电子邮件”一样发送“用户电子邮件”

我们如何在我们的服务提供者中映射它。

注意：openAM 版本 13.0.0

【问题讨论】：

【解决方案1】：

是否适用于将 OpenAM 服务提供商配置为同时支持来自不同 IDP 的 SAML2 瞬态联合和持久联合

是的，这是可能的。

我们如何配置它？

这可能取决于您使用的 OpenAM 版本，因此请提供 OpenAM 版本以及您使用的分叉，因为有多个 OpenAM 分叉。

如果我们同时实现 SAML2 瞬态联合和持久化，它是否也适用于将来自不同 IDP 的 SAML 响应中的不同 SAML 断言属性映射到 OpenAM 服务提供商中的相同属性。

是的，您可以在托管 SP 的属性映射（OpenAM 控制台中的断言处理选项卡）中配置这两个映射。它不依赖于所使用的 NameID 格式。

【讨论】：

openAM 版本 13.0.0 @Bernhard Thalmayr
请问我们如何实现 SAML2 瞬态联合和持久化。 @Bernhard Thalmayr
您是否了解 NameID 格式瞬态和 NameID 格式持久性的预期用途...（SSO 与帐户链接）？你在哪里挣扎？
是的，我知道临时联合会将所有 SSO 身份验证用户映射到 OpenAM LDAP 中的匿名用户。持久联合将 IDP 中的每个用户映射到 SP 中的现有用户，如果我们启用自动联合，则将在 SSO 身份验证后自动创建用户。 @Bernhard Thalmayr
目前，我们使用瞬态联合。我想知道启用持久联合的合适方法，如果我们启用持久联合，这将影响当前的瞬态联合，以及这个用例是否有任何缺点。@Bernhard Thalmayr