Používáte-li Microsoft Active Directory, mějte na paměti drobné rozdíly oproti LDAPu.
Active Directory namísto atributu uid
, který používá LDAP, používá atribut sAMAccountName
. takže userFilter
a searchFilter
(soubor ldap.properties) musí být nastaveno tímto způsobem:
idp.authn.LDAP.userFilter = (sAMAccountName={user}) idp.attribute.resolver.LDAP.searchFilter = (sAMAccountName=$resolutionContext.principal)
: Toto nemusí být v aktuální verzi Shibboleth IdP 3.4.6 již pravda!
V elementu <DataConnector>
(soubor attribute-resolver.xml) je nutné uvést do párového elementu <ReturnAttributes>
názvy atributů, které chcete z Active Directory získat, čili <ReturnAttributes>mail cn sn o ou givenName displayName sAMAccountName</ReturnAttributes>
zajistí uvolnění atributů mail, cn, sn, o, ou, givenName, displayName a sAMAccountName.