Артефакторная ассоциация Saml group с ADFS

Question

Для вашей информации я пытался найти разные ссылки, но не нашел правильного ответа.Приведенная ниже ссылка выглядит как та же самая проблема, но нет правильного ответа для этой

Артефакты: соответствие группы единого входа SAML не работает

Я столкнулся с проблемой в отношенииассоциация артефактных групп с SAML.Попытался следовать процессу, упомянутому в ссылке ниже, но он не работает.Мы ценим любую помощь.

https://jfrog.com/knowledge-base/how-do-i-configure-artifactory-saml-sso-with-adfs/

Наша цель - создать ту же группу в артефакте, которая присутствует в ADFS.Так что мы можем дать разрешения этой соответствующей группе в артефакте.Но проблема в том, что люди могут войти в систему, используя свои учетные данные домена, где, как будто мы предоставляем разрешения группе, она не работает должным образом.

Если вам нужна дополнительная ясность, я с удовольствием объясню больше по этому вопросу.проблема.

Стороной ADFS занимается другая команда, даже если они не уверены, почему она не работает.Есть ли ошибка в артефакте?Я настроил SAML с Дженкинсом, он работает очень хорошо.

Answer 1

Я постараюсь уточнить о процессе.

После запроса входа в систему пользователь и его группы доступны для Artifactory в ответе на утверждение, который отправляется обратно в Artifactory провайдером идентификации SAML.Данные должны быть доступны в ответном XML-ответе, если поставщик удостоверений настроен на их включение.Например, провайдер идентификации может исключать информацию о группах и включать только пользовательские данные (т. Е. Имя пользователя, почта).

Чтобы гарантировать, что Artifactory может назначить пользователя в группу SAML, вам необходимо выполнить следующие действия:следующее:

1. Настройте ADFS для включения атрибутов групп пользователей в ответ на вход в систему.Вы упомянули, что это обрабатывается другой командой, но вы можете увидеть, как это можно сделать, по ссылке 1009 *, которую вы прикрепили в своем сообщении.
2. Создайте соответствующие группы в Artifactory,или импортируйте их в Artifactory от другого поставщика аутентификации (например, экрана группы интеграции Artifactory LDAP).В Artifactory обязательно должны существовать соответствующие группы.
3. Откройте экран конфигурации SAML Web-UI Artifactory, отметьте флажок Auto Associate groups
4. Отредактируйте текстовое поле Group Attribute и введитеимя атрибута SAML объявления группы.Требуемое имя атрибута группы - это то, которое возвращается в ответе на утверждение SAML.

В утверждении оно должно выглядеть следующим образом:

<saml:AttributeStatement>          
    <saml:Attribute Name="memberof">
        <saml:AttributeValue>group1</saml:AttributeValue>
        <saml:AttributeValue>group2</saml:AttributeValue>
    </saml:Attribute>
</saml:AttributeStatement>

В вашем случае выможет либо получить имя атрибута ассоциации группы от другой команды, которая управляла вашей ADFS, как вы упомянули, либо просто просмотреть утверждение в любом виде плагина браузера SAML tracer (если ADFS была настроена для отправки атрибутов групп)

Как только вы настроите вышеупомянутое, когда пользователь SAML войдет в Artifactory, он автоматически будет связан с группой, которая возвращается ответом на утверждение SAML (пока группа существует в Artifactory)

Примечание : ассоциация групп SAML не сохраняется и действительна только для текущего сеанса входа в систему, поэтому, если вы отредактируете экран пользователя / группы в пользовательском интерфейсе, не будет, что ассоциация пользователя / группыОднако если вы предоставляете разрешение для определенного ресурса группе, которую вы указалиЕсли вы хотите назначить пользователя, вы увидите, что пользователь, вошедший в систему, может использовать предоставленное разрешение.