Что такое поведение по умолчанию для одной группы учетных данных с несколькими механизмами аутентификации?

Question

Я пытаюсь лучше понять, как GSA аутентифицирует пользователей.

У нас есть поиск GSA, настроенный с несколькими файлами cookie authn под одной и той же группой учетных данных. Из журналов похоже, что пользователи должны пройти аутентификацию со всеми этими механизмами, а не только с одним. Это предполагаемое поведение?

Я ожидаю, что пользователям потребуется только один механизм для проверки их аутентификации до того, как GSA выполнит поиск.

В журнале сбоев GSA проходит все четыре механизма, и только один проверяет пользователя. Результаты не возвращаются, и нет «Аутентификация успешна!». линия. В журнале успеха три механизма, которые опровергли пользователя, были удалены. Результаты возвращаются.

Это кажется мне странным. Я все еще смотрю, но я еще не нашел документацию об этом. Кто-нибудь еще сталкивается с этим?

журнала Failure:

 
150249 16:24:19.593 [Authentication] New session for this request: 744e33ce2597dc4391a173c3d99cd6d8 
150249 16:24:19.600 [Authentication] running AuthN mechanism SAML 
150249 16:24:19.602 [Authentication] Redirecting user to be authenticated by the Security Manager: <filtered> 
150249 16:24:19.746 [Security Manager] Incoming cookies from user agent: <filtered> 
150249 16:24:19.909 [Security Manager] Attempting to authenticate using pre-existing credentials. 
150249 16:24:20.076 [Security Manager] The credentials were refuted by cred_mech1 
150249 16:24:20.170 [Security Manager] The credentials were refuted by cred_mech2 
150249 16:24:20.180 [Security Manager] The credentials were refuted by cred_mech3 
150249 16:24:20.207 [Security Manager] The credentials were verified by cred_mech4 
150249 16:24:20.213 [Security Manager] GroupsUpdateModule Auth: Looking up groups for user: <filtered> 
150249 16:24:20.226 [Security Manager] GroupsUpdateModule did not find groups for: scope: 1 
name: "<filtered>" 
name_space: "Default" 
case_sensitive: 0 

150249 16:24:20.229 [Security Manager] The credentials were verified by Default_groups_1a852798543f79b0afe8af1789f9bb0c 
150249 16:24:20.234 [Security Manager] Unable to authenticate with pre-existing credentials. Starting credentials gathering. 
150249 16:24:20.237 [Security Manager] Not trying Universal Login Form because no remaining credential group can use it. 
150249 16:24:20.244 [Security Manager] Not trying Universal Login Form because no remaining credential group can use it. 
150249 16:24:20.251 [Security Manager] Not trying Universal Login Form because no remaining credential group can use it. 
150249 16:24:20.259 [Security Manager] Outgoing cookies to user agent: (none) 

Успех журнала:

 
150249 15:42:29.269 [Authentication] New session for this request: 75fa3613c48c3b505aa8cc681cd142aa 
150249 15:42:29.277 [Authentication] running AuthN mechanism SAML 
150249 15:42:29.280 [Authentication] Redirecting user to be authenticated by the Security Manager: <filtered> 
150249 15:42:29.496 [Security Manager] Incoming cookies from user agent: <filtered> 
150249 15:42:29.669 [Security Manager] Attempting to authenticate using pre-existing credentials. 
150249 15:42:29.917 [Security Manager] The credentials were verified by cred_mech4 
150249 15:42:29.925 [Security Manager] GroupsUpdateModule Auth: Looking up groups for user: <filtered> 
150249 15:42:29.940 [Security Manager] GroupsUpdateModule did not find groups for: scope: 1 
name: "<filtered>" 
name_space: "Default" 
case_sensitive: 0 

150249 15:42:29.943 [Security Manager] The credentials were verified by Default_groups_1a852798543f79b0afe8af1789f9bb0c 
150249 15:42:29.948 [Security Manager] Outgoing cookies to user agent: (none) 
150249 15:42:30.229 [Authentication] Authentication successful! Search user identity is: <filtered> ; session: 75fa3613c48c3b505aa8cc681cd142aa 
150249 15:42:30.236 [Authentication] Verified credential: <filtered>, namespace: Default 
150249 15:42:30.238 [Authentication] Authentication expiration time is: 20150218T154729.673-0600 
150249 15:42:30.270 [Authentication] Redirecting user to relayState value: <fitlered> 

Answer 1

Я понимаю, что GSA в действительности не предназначен для использования одной группы учетных с несколькими механизмами аутентификации, если один этих механизмов «аутентификации» не действительно используется только для группы поиска. В этом есть смысл иметь несколько учетных групп. Как работает авторизация с поздним связыванием, если у вас может быть несколько механизмов аутентификации в пределах одной группы учетных данных, для примера ? Использует ли он только механизм аутентификации, который преуспел в для проверки полномочий?

Если вы хотите предоставить несколько путей авторизации, даже если соответствующие механизмы аутентификации указывают на один и тот же пользователь хранилище под одеялом, вы будете нуждаться, чтобы предоставить несколько учетных групп. И если вы хотите иметь несколько аутентификаций, которые указывают на разные пользовательские репозитории, вы определенно должны использовать несколько групп учетных данных.

Answer 2

Одна группа учетных данных означает одну личность. Если у вас несколько механизмов аутентификации на основе файлов cookie, они должны перейти в отдельные группы учетных данных.