在 Windows 2012 R2 上使用 ADFS。我创建了一个中继方信任,其中定义了一个声明规则,该规则将 Active Directory 属性映射到供应商系统中的命名属性。
当我查看 federationmetadata.xml 文件时,我注意到这些属性不存在,只有“声明说明”中列出的项目存在。
这是正常的吗?显然,应用程序供应商系统正在使用 PingFederate,并且他们希望这些属性存在于元数据文件中。
答案1
遵循 Microsoft 支持的建议并创建包含我想要包含的属性的声明描述项,这些属性随后出现在元数据文件中。应用 Issuance Transform 允许我将值映射到这些属性。
答案2
这是正常的。元数据文件包含您所说的“声明描述”,以及您的 ADFS 场的端点、令牌签名和令牌解密证书的公钥;有关您的部署的一般信息。所有这些,但不是您的依赖方配置(我认为这会是一个安全问题)。
您必须与应用程序供应商交换元数据文件。然后,您必须与供应商就以下事项达成一致:
- 您的信任标识符
- 您发送的索赔类型
- 这些声明的允许值
- 是否要在系统之间加密令牌