我需要在这里进行头脑风暴,因为我认为可能是我误解了整个SAML联合点。
有关上下文的一些详细信息:
该联盟运行良好-IdP用户已正确登录并映射到现有的或刚刚创建的数据存储用户。在数据存储上创建远程用户时,OpenAM会分配该用户不知道的随机密码,因此远程用户只能通过IdP登录。
现在,所有用户,包括远程用户,都可以访问控制台并设置自己的密码。为了防止这种情况,我将userPassword设置为受保护的属性,因此,如果用户不知道其当前密码,则无法更改它。
但是我已经注意到用户可以请求通过联合机制设置的帐户重设密码-这意味着他们可以更改其帐户的密码,然后通过本地登录机制进行登录。
我想念什么吗?验证远程用户时是否会出现这种现象?如何设置所有内容,使本地用户与远程用户保持隔离?
我想我解决了这个问题。我已经修改了组织身份验证配置,以使用包含LDAP模块的新链,而不是使用ldapService模块的默认DataStore。我可以通过检查LDAP存储上的特定属性来区分联盟用户和本地用户,因此我修改了LDAP模块以应用用户搜索过滤器(不包括联盟用户),现在他们不再可以使用恢复密码解决方法在本地进行身份验证。