Мне нужно провести мозговой штурм здесь, потому что я думаю, что, возможно, я неправильно понимаю всю точку федерации SAML.
Некоторые подробности о контексте:
- OpenAM с хостом SAML SP ;
- В круге доверия я добавил https://samltest.id в качестве тестового IdP;
- OpenAM настроен для динамического создания локальных пользователей, поскольку администратор должен иметь возможность установить некоторые атрибуты для федеративных пользователей, скажем, записи на панели инструментов или членство в группах;
- Я включил автоопределение и настроить сопоставление атрибутов пользователей.
Федерация работает нормально - пользователи IdP правильно вошел в систему и сопоставлен с существующим или только что созданным пользователем хранилища данных. Когда в хранилище данных создается удаленный пользователь, OpenAM назначает случайный пароль, который пользователь не знает, поэтому удаленные пользователи могут входить только через IdP.
Теперь все пользователи, включая удаленных , можете получить доступ к консоли и установить собственный пароль. Чтобы предотвратить это, я установил userPassword в качестве защищенного атрибута, поэтому, если пользователи не знают свой текущий пароль, они не могут его изменить.
Однако я заметил, что пользователи могут запросить пароль Сброс для учетных записей, предоставляемых через механизм федерации - это означает, что они могут изменить пароль для своей учетной записи, а затем войти в систему с помощью локального механизма входа.
Я что-то упустил? Ожидается ли такое поведение при аутентификации удаленных пользователей? Как мне настроить все так, чтобы локальные пользователи были отделены от удаленных?