在 ADFS v1.x 中创建自定义 AD 声明

在 ADFS v1.x 中创建自定义 AD 声明

抱歉,这是一个缺乏知识的问题,但我现在有点绝望了。

在工作中,我们有几个客户仍在使用 2.0 之前的 ADFS 版本,这些版本采用了 SAML2 路由,我正在尝试使用这些版本作为身份提供者来创建对 WebSSO 的支持。我已经支持 ADFS 2.0+、Shibboleth 和 Okta。

我正在针对“adatum”帐户服务器进行测试,因为我一直在关注微软的逐步指南获得一个可以进行测试的工作设置。

到目前为止,我已经设法请求并接收 ADFS 在用户通过身份验证时在我的登录端点传递的 RequestSecurityTokenResponse 有效负载,但我不知道如何获取其中包含的基本信息,例如电子邮件以及名字和姓氏。

我唯一一次成功发送任何东西attributeStatement就是当我映射指南中创建的两个“Trey*AppUsers”组之一时。

启用身份声明E-mailCommon Name不添加任何内容。

我尝试过

  • 创建新的自定义Organization Claim
  • 为其创建一个Custom Claim ExtractionADAccount Store
  • 将其设置为使用应该存在的 LDAP 属性(我已尝试过sAMAccountNamegivenNamedisplayName
  • Outgoing Custom Claim Mapping在我为我的 SP 创建的上面为它创建一个新的Resource Partner,但我仍然没有得到任何东西...

我不知道为什么,而且在 Google 上搜索这些版本的 ADFS 的帮助非常困难,更糟糕的是,我不习惯使用 Windows,而且我绝对不是系统管理员 :D

假设这是一个值得回答的问题,有人可以给我一些指点,考虑到我(显然)在这个领域相当迟钝?

谢谢 :)

丹尼尔

答案1

好吧,这太荒谬了。看到这样的指南其中一个让我更加困惑,因为它基本上告诉我要做我已经在做的事情。所以我尝试创建一个新的资源合作伙伴,其配置与之前的完全相同,瞧,我现在可以映射 AD 声明,而且它们完全通过了!

我看不出这两个 RP 之间有什么区别,除了其中一个可以发送 AD 来源的声明,另一个不能。也许我乱搞了各种设置,不知怎么搞坏了它。

不过,我不会删除我的问题,因为我猜其他人可能会遇到同样的情况,如果是这样,我只能说:尝试创建失败的资源合作伙伴配置的精确副本,它可能会起作用!

相关内容