我想objectGUID使用在 Windows Server 2012 上运行的 AD FS 2.0 发送索赔。
我知道我可以为依赖方信任创建颁发转换规则,但 AD FS 2.0 如何知道?我需要在 AD FS\Service\Claim Descriptions 下objectGUID添加声明说明吗?objectGUID
答案1
objectGuid通过使用“将 LDAP 属性发送为声明规则”并指定为源属性,可以将 LDAP 属性作为任何声明的值发送。ADFSobjectGuid不了解 LDAP 属性,如果您要扩展 LDAP 架构,则可以像使用其他任何属性一样轻松地使用这些属性。您必须将其转换为的特定声明由依赖方规定。
如果您只是将其用作用户的唯一 ID,您可以将其作为http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier(Private Personal Identifier)发送,但您也可以将其发送到特定于您的特定 RP 的声明中(此时您需要添加声明说明)。
答案2
问题不在于访问它,而在于它将其“转换”为与 AD 中的原始条目不匹配的内容。