Мы запускаем поставщик идентификационной информации Shibboleth и все чаще просим интегрироваться с приложениями с использованием решений SAML, отличных от Shibboleth, и сталкиваемся с трудностями в отношении присвоения атрибутов. С чистым соглашением SPI Shibboleth IdP & я знаю, что IdP может освобождать пользовательские атрибуты поставщику услуг с использованием произвольных имен атрибутов в утверждении. Поставщик услуг, настроенный на получение определенных атрибутов с использованием имен, предоставленных IdP, переназначает атрибуты из IdP в имена атрибутов, полезные для Поставщика услуг, используя конфигурацию в файле attribute-map.xml.Стандарт SAML для сопоставления атрибутов поставщика услуг
Моя проблема связана с операторами провайдера услуг, отличными от Shibboleth, многие из которых отказались переназначать атрибуты, отправленные из IdP, вместо этого требуются новые атрибуты на IdP (для переноса значений, уже доступных в существующих атрибутах) используя имена, продиктованные владельцем поставщика услуг. Это заставляет объект атрибута пользователя на IdP расти без необходимости (во время проверки подлинности), поскольку все определенные атрибуты сначала заполняются значениями, а затем фильтруются только до тех атрибутов, которые были одобрены для выпуска запрашивающего SP.
Является ли функция сопоставления атрибутов, присутствующая в сервис-провайдере Shibboleth, частью спецификации/стандарта SAML/SAML 2.0, или это функция, введенная разработчиками Shibboleth? Если это часть стандартных отношений/поведения в решении SAML, может ли кто-нибудь направить меня к авторитетному документу стандартов?
Я ознакомился с тем, что я могу найти в OASIS относительно стандартов SAML, но я не могу найти ничего относительно этого поведения.