[ProjectSCZ-FIAM] Attributen van SAML login gebruiken in enrollment flow

[Michiel Uitdehaag - muis IT]

Hoi Pieter,

Ik vrees dat het op dit moment nog niet zo eenvoudig is.

De 'oude' (3.0) situatie maakte gebruik van de mogelijkheid om, voor
alle COs over het hele platform, om de SAML omgevingsattributen in te
lezen tijdens de enrollment. Het nadeel daarvan was dat dit alle
'invitation' enrollment flows overhoop gooide.

In de nieuwe 3.1 situatie is daar iets voor in de plaats gekomen dat
'Organizational Identity Source' (OIS) heet. Die zou je in staat moeten
stellen om dit gedrag per CO en per enrollment flow te configureren.
Maar dat is lastiger dan het leek toen het werd aangekondigd. Het lijkt
erop dat deze weg niet in staat is om de velden vooraf in te vullen op
basis van de SAML data.

Wat je op dit moment volgens mij wel kunt doen, is bij de Enrollment
Flow Attributes opgeven op basis van welke environment variabele ze
moeten worden gezet. En dat is natuurlijk lastig, want je weet niet hoe
die environment variabelen nu heten.
Ze beginnen allemaal met 'MELLON_' en daarna volgt de SAML oid URN. Dus
bijvoorbeeld:

MELLON_urn:oid:0.9.2342.19200300.100.1.3

voor een mail adres.

Of:

MELLON_urn:oid:2.16.840.1.113730.3.1.241

voor de displayName.

Het probleem hierbij is dat we niet zeker weten welke SAML attributen er
door de originele IdP worden doorgegeven. Een aantal attributen zijn
verplicht (binnen R&S en CoCo, als ik me niet vergis in de
terminologie), maar daarbuiten is het klaarblijkelijk 'divers' wat er
aangeleverd wordt.
Een ander probleem is dat sommige attributen onder verschillende namen
kunnen worden doorgegeven en je kunt bij de Enrollment Flow attributen
maar 1 variabele opgeven.

Ik ben 'as we speak' aan het kijken naar een manier om de COmanage zover
te krijgen om een eventueel gekoppelde OrgIdentity (bijvoorbeeld een
OrgIdentity die is gemaakt als gevolg van een OIS plugin) te gebruiken
als basis voor deze attributen. Het is me nog niet duidelijk of dat via
een Enrollment flow plugin kan, of dat daarvoor echt in COmanage moet
worden geknutseld. Maar het staat op de radar.

Groeten,

Michiel


On 08-06-18 12:24, Pieter Neerincx wrote:
> Hi allen,
>
> In het verleden hebben we het voor de BBMRI als het goed is voor elkaar gehad om tijdens een enrollment flow naam, email, etc. uit de SAML attributen te halen, zodat ze niet ingevuld hoeven te worden door de gebruiker (en er dus ook geen verkeerde info opgegeven kan worden). Ik zit nu met Remco te stoeien met een test machine die we aan de SCZ COmanage en BBMRI CO hebben gehangen, maar we krijgen het niet meer voor elkaar. Bij elke bestaande enrollment flow die we al hadden of al we een nieuwe maken moeten de velden voor de attributen worden ingevuld en komt de info van de IdP niet door :(. Met de documentatie van COmanage zelf en op de SCZ wiki komen we er niet uit.
>
> Wie kan ons in een paar bullets vertellen wat we waar moeten configureren?
>
> Groeten,
>
> Pieter
>
>
> -------------------------------------------------------------
> phone: +31 6 143 66 783
> e-mail: pieter.neerincx at gmail.com
> skype:  pieter.online
> -------------------------------------------------------------
>
>
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

-- 
muis IT
e: info at muisit.nl
w: http://www.muisit.nl
t: 06-49331243