我想objectGUID
使用在 Windows Server 2012 上运行的 AD FS 2.0 发送索赔。
我知道我可以为依赖方信任创建颁发转换规则,但 AD FS 2.0 如何知道?我需要在 AD FS\Service\Claim Descriptions 下objectGUID
添加声明说明吗?objectGUID
答案1
objectGuid
通过使用“将 LDAP 属性发送为声明规则”并指定为源属性,可以将 LDAP 属性作为任何声明的值发送。ADFSobjectGuid
不了解 LDAP 属性,如果您要扩展 LDAP 架构,则可以像使用其他任何属性一样轻松地使用这些属性。您必须将其转换为的特定声明由依赖方规定。
如果您只是将其用作用户的唯一 ID,您可以将其作为http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
(Private Personal Identifier
)发送,但您也可以将其发送到特定于您的特定 RP 的声明中(此时您需要添加声明说明)。
答案2
问题不在于访问它,而在于它将其“转换”为与 AD 中的原始条目不匹配的内容。