需要SAML属性映射示例
需求值
属性映射策略必须包含 :
- 最小一本地规则
- 静态或动态聚居值
| 字段 | 描述性 | 格式化 | 常用值 |
|---|---|---|---|
| 域名 | 身份或账号域授权身份提供者登录用户 | 字母数字字符串 | 必须设置到身份域域显示于细节身份提供器页面 |
| 名称 | 用户名由身份系统提供 | 字母数字字符串 | SAML属性 : 名代码(持久类型优先级) urn:oid:1.3.6.1.4.1.5923.1.1.1.6 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| 邮箱 | 用户电子邮件地址由身份系统提供 | RFC有效电子邮件地址 | SAML属性 : 邮箱 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:1.2.840.113549.1.9.1.1 0.9.2342.19200300100.1.3" |
| 角色划分 | 产品RBAC(基于功能访问控制)角色 | YAML数组字母数组 | 示例:角色划分 :-Nova:adminlbaas:Obser |
| 过期 | 时间段后用户必须重新验证身份系统 | ISO格式时间值 | 示例:PT12H12小时或 SAML属性 SessionNotOnOrAfter 非OnOfer |
定值属性映射
可直接或使用属性映射策略语言特征设置值,如内联替换或XPath
下示例语法使用本地规则内行替换简洁检索值并简化策略还有其他方法实现相同(或更多复杂)假设更多例子和完整指南属性映射策略语言见属性映射策略参考.
| 方法论 | 描述性 | 实例 |
|---|---|---|
| 默认 | 查找字段常用位置或标签取回值注意当前只有与字段同名属性匹配举个例子名: {D}匹配属性名称名称. |
名: {D} |
| 显式 | 直接将值输入属性映射策略字段最有用值不修改联盟用户登录全部联合用户此身份提供程序 | 过期:PT12H |
| 属性匹配 | XPath匹配SAML属性 | 单值返回开:email: "{At(urn:oid:1.2.840.113549.1.9.1.1)}"多值返回 阿特斯:分组 :多值:真value: "{Ats(http://schemas.xmlsoap.org/claims/Group)}" |
| 路径匹配 | XPath使用XML层次或scheme匹配路径对数值 | "{Pt(/saml2p:Response/saml2:Assertion/saml2:Conditions/@NotOnOrAfter[1])}" 取回值非OnOfer |
示例策略必备属性
属性映射策略示例使用显性SAML提供值映射所需字段注意这是一个基本例子,在某些情况下可能需要更多定制化第三方特殊SAML提供商的考量见配置第三方SAML提供者.
更多例子和完整指南属性映射策略语言见属性映射策略参考.
mapping: version: "RAX-1" # Comments are allowed in YAML rules: - local: user: domain: "636462353" # Domain must be set to your Identity Domain name: "{D}" # Username is set from the element named "name" value in your SAML email: "{At(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)}" # Locates the attribute with the above URL as the claim type or name roles: - "nova:observer" - "lbaas:admin" # Assigns the roles explicitly listed above expire: "{Pt(/saml2p:Response/saml2:Assertion/saml2:Conditions/@NotOnOrAfter[1])}" # Retrieves the NotOnOrAfter value by using the SAML path and XPath更新 30天前