您好安德烈斯·查孔（Andres Chacon），

我认为这里有一个误解。 SCP没有用户持久存储，在该存储中可以大量创建用户和组。 因此，您将找不到来自SCP的任何API来创建用户/组。 根据设计，这是IdP系统的工作-在SCP中，默认情况下为 SAP ID Service 。

您可以将其更改为支持SAML 2.0协议的其他IdP，然后查看其对大量用户/组创建的支持。 然后，SCP将能够无缝使用这些身份。

另一方面，SCP提供了将SAML属性映射到组的方法，因此人们可以自动将LDAP组人员分配给具有以下条件的SCP组： 有权访问应用程序的适当授权。 这是在登录时发生的-因此SCP不需要持久性。 可以在SCP的座舱菜单上找到这些设置：安全->信任-在此可以将标准IdP更改为自定义IdP，还可以根据正则表达式或静态规则将用户和组映射到特定的SAML属性。

< p>最诚挚的问候，
伊万

你好伊万，谢谢您的回复。

也许当我提到"创建"用户时使用了错误的术语。 我将详细介绍我所指的内容：

我已经配置了自定义受信任的IdP（活动目录），并且工作正常。 问题在于，它在SAML断言中发送给我的唯一参数是用户电子邮件（该字符没有允许我使用映射规则的字符组合），因此我没有任何其他参数可以有效地映射用户。

另一方面，由于安全团队等的响应时间较慢，客户不希望在SAML断言中维护Active Directory参数以将其发送给我。

我的研究重点是如何将电子邮件列表上传到安全->身份验证标签中，以使用户更快地进行映射。

Q1：您有什么建议吗？

Q2：是否存在任何机制可以将用户逐个映射到SCP中的组？ 如果可能的话，建议吗？

非常感谢您的支持。

BR。