OpenAM-SAML、自动联合和自助密码重置_Saml_Openam_Federation

OpenAM-SAML、自动联合和自助密码重置

OpenAM-SAML、自动联合和自助密码重置,saml,openam,federation,Saml,Openam,Federation,我需要一些头脑风暴，因为我想我可能误解了整个SAML联盟的观点有关上下文的一些详细信息：托管SAML SP的OpenAM 在信任圈中，我添加了一个测试IdP OpenAM配置为动态创建本地用户，因为管理员必须能够设置联邦用户的一些属性，比如仪表板条目或组成员资格我已启用自动联合并设置用户属性映射联盟工作正常-IdP用户已正确登录并映射到现有或刚刚创建的数据存储用户。在数据存储上创建远程用户时，OpenAM会分配一个用户不知道的随机密码，因此远程用户只能通过IdP登录现在，所有用户，

我需要一些头脑风暴，因为我想我可能误解了整个SAML联盟的观点

有关上下文的一些详细信息：

托管SAML SP的OpenAM
在信任圈中，我添加了一个测试IdP
OpenAM配置为动态创建本地用户，因为管理员必须能够设置联邦用户的一些属性，比如仪表板条目或组成员资格
我已启用自动联合并设置用户属性映射

联盟工作正常-IdP用户已正确登录并映射到现有或刚刚创建的数据存储用户。在数据存储上创建远程用户时，OpenAM会分配一个用户不知道的随机密码，因此远程用户只能通过IdP登录

现在，所有用户，包括远程用户，都可以访问控制台并设置自己的密码。为了防止出现这种情况，我将

userPassword

设置为受保护的属性，因此如果用户不知道其当前密码，则无法更改

但是我注意到，用户可以为通过联合机制设置的帐户请求密码重置——这意味着他们可以更改其帐户的密码，然后通过本地登录机制登录

我错过什么了吗？对远程用户进行身份验证时是否会出现这种行为？如何设置所有内容，使本地用户与远程用户保持隔离？

我想我解决了这个问题。我修改了组织身份验证配置，以使用包含LDAP模块的新链，而不是使用

数据存储

模块的默认

ldapService

。我可以通过检查LDAP存储上的特定属性来区分联邦用户和本地用户，因此我修改了LDAP模块以应用用户搜索筛选器，将联邦用户排除在外，现在他们不再能够使用恢复密码解决方案在本地进行身份验证