Recherche
bon je viens de tester le fait d'utiliser uid pour mon IdP --> Ca ne semble pas marcher car :
L'idée était donc bonne mais soit j'ai mal compris soit ils n'ont pas poussé à terme leur réflexion sur le sujet.
Je vais faire une fiche...
A+
Le 01/12/2010 12:13, Raymond Bourges a écrit :
> Bonjour,
>
> Je n'ai pas fait de page web car je n'ai pas testé mais en faisant du debug je crois comprendre à quoi sert l'entrée
>
> <uidHeader idpUrl="url2">uid2</uidHeader>
>
> Que l'on trouve dans <uidHeaders> de la config shib de nuxeo.
>
> Perso je n'utilise que <default>eppn</default>
>
> Donc <uidHeader idpUrl="url2">uid2</uidHeader> permet de dire que pour idpUrl valant par exemple https://ident-shib-test.univ-rennes1.fr/shibboleth (en fait d'URL je pense que , c'est ID de l'IdpIdP) on peut dire à nuxeo d'utiliser l'attribut uid2 envoyé par cet IdP et pas <default>. >
> Donc on
On peut imaginer 2 cas : > 1) un
...
...
...
...
...
...
> Je crois que le point 2 est à tester et à préconiser si ça marche bien...
>
> A+viens de tester le fait d'utiliser uid pour mon IdP --> Ca ne semble pas marcher car :
Remarque |
---|
Ce bug a été détecté avant la mise en place d'une configuration avec une annuaire multiple. Cf. 7) configuration shib + LDAP fonctionnelle |
forcer l'attribut "surname" dans la map :
Bloc de code |
---|
--- a/nuxeo-platform-login-shibboleth/src/main/java/org/nuxeo/ecm/platform/shibboleth/auth/ShibbolethAuthenticationPlugin.java Tue Nov 09 00:10:12 2010 +0100 +++ b/nuxeo-platform-login-shibboleth/src/main/java/org/nuxeo/ecm/platform/shibboleth/auth/ShibbolethAuthenticationPlugin.java Wed Dec 01 12:44:26 2010 +0100 @@ -116,6 +116,7 @@ Map<String, Object> fieldMap = getService().getUserMetadata(httpRequest); DocumentModel entry = userDir.getEntry(userId); if (entry == null) { + // patch RB : fieldMap.put("surname", userId); userDir.createEntry(fieldMap); } else { entry.getDataModel(userManager.getUserSchemaName()).setMap( |
Remarque |
---|
Si le bug n'existe plus (pas testé) avec une configuration avec une annuaire multiple. Le patch reste néanmoins nécessaire pour les établissement qui voudrait utiliser comme surname une valeur d'entête déjà utilisé pour un autre attribut du user nuxeo. ex : email. En effet, nuxeo ne sait pas dans son ShibbolethAuthenticationService mapper une même entête sur 2 attributs du user. Le patch rend aussi obsolète le besoin de définir un <fieldMapping header="truc">username</fieldMapping> pour username. |