Artifactory:SAML SSO 组匹配不起作用
Artifactory: SAML SSO group matching not working
我们正在使用 ADFS 允许用户登录 Artifactory,基本上它工作正常。问题是,无法识别组成员身份。谁能告诉我问题出在哪里?
使用 Artifactory Pro 5.4.4
ADFS 3.0
XML 用于将信息传输到 Artifactory(我也包含了邮件属性,效果很好)
<Attribute Name="memberOf">
<AttributeValue>CN=some_group_the_user_is_in,OU=...</AttributeValue>
<AttributeValue>CN=my_artifactory_group,OU=..</AttributeValue>
<AttributeValue>CN=some_other_group,OU=...</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
<AttributeValue>x@y.com</AttributeValue>
</Attribute>
我没有直接访问 ADFS 的权限,也没有使用它的经验。负责人说他不能过滤组只显示Artifactory中重要的组,所以有一个组列表,Artifactory中可能会用到一两个,他也不能更改属性名称。
Artifactory 中的 SAML 设置为:
组属性:"memberOf"
电子邮件属性:“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”
否则 SAML 工作正常。用户 "just" 缺少他们的组 - 这最终使整个事情变得毫无用处,因为每个新用户都必须手动分配,这显然对于将近 200 个用户来说并不实用
有人能帮忙吗?
运行 进入同样的事情,我花了一些时间来解决它。
首先,您已正确设置 SAML 设置。
您需要做的是在 artifactory 中创建 group,其 ID 与您在 SAML 中指定的 ID 完全相同。在您的情况下,您将必须创建:
CN=some_group_the_user_is_in,OU=... CN=my_artifactory_group,OU=..CN=some_other_group,OU=...
我假设这些不是你们小组的真实姓名,但我从你的问题中逐字复制了它们。
然后您需要为您的组授予适当的权限,以便能够浏览适当的存储库。
请注意,SAML 组关联允许用户根据他们的权限浏览 Artifactory。如果您想 运行 从开发人员机器构建而不是使用 Artifactory 密码,它不允许他们使用该关联使用生成的令牌访问 artifactory。
后一个缺失的功能承诺在 2018 年第四季度由他们的支持交付。
这是与 missing feature.
相关的 JIRA 问题
我也通过在 Artifactory 实例上设置它来 运行 参与其中。
如前所述,SAML SSO 仅在 ui 界面上且仅在后台同步用户组。
这意味着用户不会添加到他在身份提供者中分配到的组。
JFrog 现在提供了一项 SCIM 功能,该功能仅适用于其 JFrog 平台的企业版(截至 2021 年 6 月 16 日)。
此功能的工作方式类似于 SAML SSO,但也会同步用户的组,因此它也可以通过 API 使用,这意味着在开发人员计算机的 build 时间内。
我们正在使用 ADFS 允许用户登录 Artifactory,基本上它工作正常。问题是,无法识别组成员身份。谁能告诉我问题出在哪里?
使用 Artifactory Pro 5.4.4 ADFS 3.0
XML 用于将信息传输到 Artifactory(我也包含了邮件属性,效果很好)
<Attribute Name="memberOf">
<AttributeValue>CN=some_group_the_user_is_in,OU=...</AttributeValue>
<AttributeValue>CN=my_artifactory_group,OU=..</AttributeValue>
<AttributeValue>CN=some_other_group,OU=...</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
<AttributeValue>x@y.com</AttributeValue>
</Attribute>
我没有直接访问 ADFS 的权限,也没有使用它的经验。负责人说他不能过滤组只显示Artifactory中重要的组,所以有一个组列表,Artifactory中可能会用到一两个,他也不能更改属性名称。
Artifactory 中的 SAML 设置为: 组属性:"memberOf" 电子邮件属性:“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”
否则 SAML 工作正常。用户 "just" 缺少他们的组 - 这最终使整个事情变得毫无用处,因为每个新用户都必须手动分配,这显然对于将近 200 个用户来说并不实用
有人能帮忙吗?
运行 进入同样的事情,我花了一些时间来解决它。 首先,您已正确设置 SAML 设置。 您需要做的是在 artifactory 中创建 group,其 ID 与您在 SAML 中指定的 ID 完全相同。在您的情况下,您将必须创建:
CN=some_group_the_user_is_in,OU=...CN=my_artifactory_group,OU=..CN=some_other_group,OU=...
我假设这些不是你们小组的真实姓名,但我从你的问题中逐字复制了它们。
然后您需要为您的组授予适当的权限,以便能够浏览适当的存储库。 请注意,SAML 组关联允许用户根据他们的权限浏览 Artifactory。如果您想 运行 从开发人员机器构建而不是使用 Artifactory 密码,它不允许他们使用该关联使用生成的令牌访问 artifactory。 后一个缺失的功能承诺在 2018 年第四季度由他们的支持交付。 这是与 missing feature.
相关的 JIRA 问题我也通过在 Artifactory 实例上设置它来 运行 参与其中。
如前所述,SAML SSO 仅在 ui 界面上且仅在后台同步用户组。 这意味着用户不会添加到他在身份提供者中分配到的组。
JFrog 现在提供了一项 SCIM 功能,该功能仅适用于其 JFrog 平台的企业版(截至 2021 年 6 月 16 日)。 此功能的工作方式类似于 SAML SSO,但也会同步用户的组,因此它也可以通过 API 使用,这意味着在开发人员计算机的 build 时间内。