ADFS 2.0 电子邮件地址声明转换

ADFS 2.0 电子邮件地址声明转换

我目前有一个 ADFS 2.0 环境,我们用它为一系列外部 SaaS 应用程序提供 SSO(Cisco WebEx、Workday、Service Now 和 Cisco Jabber 等等)

我工作的公司已被收购,所有用户的默认电子邮件地址都将被更改。这将给大多数(如果不是全部)依赖方带来问题,因为他们都使用电子邮件地址声明作为用户名或 ID。

我对我们使用的其中一个开发 SaaS 应用程序进行了测试,并将 RPT 上的现有声明从“传递所有声明值”修改为“用新的电子邮件后缀替换传入的电子邮件后缀声明”,并且它使用测试帐户按预期工作。

有没有更好的方法来处理这个问题?我宁愿只转换一次电子邮件地址属性,而不是对每个 RPT 都进行转换(如果可以的话!)

非常感谢你的帮助!弗朗西斯

答案1

我猜你使用声明提供商信任“Active Directory”上的规则来获取用户的电子邮件地址。你可以这样做:

创建一个新的声明描述,例如以下声明类型: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/wrongemailaddress

替换您的 2 条规则:

AD CPT => get email from AD, put it in claim "emailaddress".
SaaS RPT => pass through claim "emailaddress".

有了这 3 个:

AD CPT => get email from AD, put it in claim "WRONGemailaddress".
AD CPT => get claim "WRONGemailaddress",
          replace the email suffix,
          put the new value in a claim "emailaddress"
          (you can do all of this with a rule "Transform an Incoming Claim" I think)
SaaS RPT => pass through claim "emailaddress".

因此,您只需修改一个信任的规则,即您的 AD 声明提供商信任。

相关内容