<div dir="ltr">DataConnectors are used in attribute-resolver.xml and as Scott has stated 2 or 3 times, attribute resolution occurs AFTER user authentication and cannot retroactively fail the (previously successful) user authentication.<div><br></div><div>Edit the ldap filter used in the authentication phase. I provided an example filter in the case you're using ldap authentication in jaas.config:</div><div><span style="font-size:12.8px">userFilter="(&(</span><span style="font-size:12.8px;font-variant-ligatures:no-common-ligatures;color:rgb(0,0,0);font-family:menlo">sAMAccountName</span><span style="font-size:12.8px">=</span><wbr style="font-size:12.8px"><span style="font-size:12.8px">{user})(memberOf=CN=MyGroup,CN</span><wbr style="font-size:12.8px"><span style="font-size:12.8px">=Users,DC=umass,DC=net)"</span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">David Bantz</span></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 3, 2017 at 12:54 PM, Cantor, Scott <span dir="ltr"><<a href="mailto:cantor.2@osu.edu" target="_blank">cantor.2@osu.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 5/3/17, 4:30 PM, "users on behalf of Daniel McDonald" <<a href="mailto:users-bounces@shibboleth.net">users-bounces@shibboleth.net</a> on behalf of <a href="mailto:daniel.mcdonald@umb.edu">daniel.mcdonald@umb.edu</a>> wrote:<br>
<br>
> Right now I have this as my CDATA section within my DataConnector which successfully matches on the mail attribute.<br>
<br>
</span>That's not about authentication, so you're still going about this wrong.<br>
<br>
> This is successfully authenticating:<br>
<br>
No, it's successfully getting attributes (or not).<br>
<span class=""><br>
> I tried this next line but it didnt seem to work, users not in the group are able to login:<br>
<br>
</span>Because that has nothing to do with authentication, that's happening afterwards. It presupposes authentication happened (excepting attribute queries, but leave that aside).<br>
<div class="HOEnZb"><div class="h5"><br>
-- Scott<br>
<br>
<br>
<br>
<br>
--<br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net">users-unsubscribe@shibboleth.<wbr>net</a><br>
</div></div></blockquote></div><br></div>