因此,我正在尝试弄清楚如何将 Active Directory 中的员工编号映射为我的声明感知应用中的声明。我们的应用中需要某种类型的键值,这样当人们更改姓名(结婚等)时,帐户就不会变得孤立。
将这些属性映射为声明的正确方法是什么?下面我以什么方式完成了它似乎这是显而易见的方法,但在登录时,我们收到“发生错误”和一条完全无用的错误消息,我会将其附在底部。
答案1
1.没有内置的“EmployeeNo”这样的声明,除非您自己创建自定义声明。您可以在声明描述节点上找到所有受支持的声明。
2.当您使用“将 LDAP 属性发送为声明”时,您应该确保该属性(在您的情况下为员工编号)已在 AD 中填充,因为当声明规则引擎运行时,它将在 AD 数据库中查找此属性值。
3.UPN、电子邮件地址、通用名称,这三种身份声明类型中至少有一种必须存在才能颁发令牌。通常我们使用 UPN 作为用户的身份。因此,您也可以在颁发转换规则中添加 UPN。
答案2
对于遇到同样问题的人,只需使用问题中的设置(它们已被编辑以反映我所做的某些更改)。这些将用于将员工编号添加到 ADFS 3.0 中的传出索赔中。