Как (правильно) сопоставить атрибуты Active Directory с исходящими утверждениями?
Итак, я пытаюсь понять, как сопоставить номера сотрудников из активного каталога в качестве утверждений в моем приложении, поддерживающем утверждения. Нам нужна какая-то пара "ключ-значение" в нашем приложении, чтобы учетные записи не становились сиротами, когда люди меняют имена (брак и т. Д.).
Как правильно сопоставить эти атрибуты как утверждения? Ниже я сделал это в чем кажется это очевидный способ сделать это, но при входе в систему мы получаем «произошла ошибка» и совершенно бесполезное сообщение об ошибке, которое я приложу внизу.
1. В таком заявлении нет встроенного «EmployeeNo», если вы сами не создали его. Вы можете найти все поддерживаемые утверждения в узле «Описание утверждений».
2. Когда вы используете «Отправить атрибуты LDAP как утверждения», вы должны убедиться, что атрибут (Employee-Number в вашем случае) был заполнен в AD, потому что при запуске механизма утверждений он будет искать в базе данных AD значение этого атрибута.
3. UPN, адрес электронной почты, общее имя, по крайней мере, один из этих трех типов утверждений идентификации должен присутствовать для выдачи токена. Обычно мы используем UPN в качестве идентификатора пользователя. Таким образом, вы также можете добавить UPN в правила преобразования выдачи.
Для тех, у кого такая же проблема, просто используйте настройки в вопросе (они были отредактированы, чтобы отразить некоторые изменения, которые я внес). Они будут работать для добавления номера сотрудника к исходящей заявке в ADFS 3.0.