使用 ADFS 2.0,如果用户使用 x509 证书进行身份验证,我想向依赖方发送有关用户证书颁发者的信息。
可以吗?如何配置声明描述和声明规则?
答案1
据我所知,截至撰写此回复时,这是不可能的。
如果您按照以下方式使用 TLS 客户端处理程序http://msdn.microsoft.com/en-us/library/ee895365.aspx你将能够发出http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod 索赔http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient如果使用证书登录 AD FS。
如果你选择使用认证机制保证并且用户使用正确映射到组的智能卡登录他们的 PC,您的 Kerberos TGT 将在 PAC 中拥有组 SID。因此,即使使用基于 Kerberos 的令牌访问 AD FS 服务器,它也能够检查令牌中的所述组 SID。这意味着您可以发出声明以确保发生了相关的智能卡登录。
请注意,在上述情况下,AD FS 未针对 TLSClient 处理程序进行配置。例如,如果您通过 AD FS 代理远程访问 AD FS(不是从公司网络访问,也不使用 Kerberos),则无法断言此身份验证机制保证。因此,您可以进行配置,使某些依赖方仅在身份验证机制保证按预期工作时才可访问。