Question Envoyer objectGUID en tant que revendication AD FS 2.0


Je voudrais envoyer objectGUID comme une revendication avec AD FS 2.0 s'exécutant sur Windows Server 2012.

Je sais que je peux créer des règles de transformation d’émission pour une confiance de la partie de confiance, mais comment AD FS 2.0 connaît-il objectGUID? Dois-je ajouter une description de revendication pour objectGUID sous AD FS \ Service \ Descriptions de réclamation?


5
2018-01-03 22:55


origine




Réponses:


le objectGuid L'attribut LDAP peut être envoyé comme valeur de toute revendication en utilisant "Envoyer les attributs LDAP en tant que règle de revendication" et en spécifiant: objectGuid comme l'attribut source. ADFS n'a pas de connaissances spécifiques sur les attributs LDAP, et si vous étendez votre schéma LDAP, vous pourrez les utiliser aussi facilement que les autres. La revendication particulière à laquelle vous devez la transformer est mandatée par la partie utilisatrice.

Si vous ne l'utilisez que comme identifiant unique de l'utilisateur, vous pouvez l'envoyer sous la forme http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier (Private Personal Identifier), mais vous pouvez également l'envoyer dans une revendication spécifique à votre RP (c'est-à-dire lorsque vous devez ajouter une description de la revendication).


3
2018-01-19 21:51





Référer ADFS: objectGUID en tant que revendication.

Le problème n’est pas tant d’y avoir accès que le fait qu’il soit "converti" en quelque chose qui ne correspond pas à l’entrée originale dans AD.


2
2018-01-20 00:14



ton article de blog a été utile pour découvrir le comportement en base64 avec AD FS. Je ne m'inquiète pas tellement que la valeur envoyée en tant que revendication AD FS ne soit pas la valeur réelle. Ma principale préoccupation est de pouvoir extraire une valeur unique / immuable pour chaque utilisateur. - Wes