Правила выдачи утверждений моего клиента для полагающегося доверия не включают это утверждение, но оно попадает в исходящие утверждения и приводит к сбою Okta: http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
У них есть это настраиваемое правило в отношении доверия для моего приложения:
c: [Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer ==" AD AUTHORITY "] => issue (store =" Active Directory ", types = (" userName "," firstName "," lastName "," email ","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query ="; userPrincipalName, givenName, sn, mail, userPrincipalName; {0} ", param = c.Value);
Во время входа в SAML, инициированного IdP, AD FS отправляет http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
также. Похоже, это связано с регистрацией устройства, контекстом устройства и AD FS MFA.
Клиент использует эти утверждения для других доверяющих доверительных отношений, поэтому я не могу удалить их полностью.
Есть ли способ запретить прохождение этих утверждений в конкретном Relying Trust?
Как я могу удалить или удалить конкретную исходящую заявку?
Вы ведь не контролируете ADFS, о которой говорите? Это сторонний клиент (клиент, для которого вы разрабатываете приложение), не так ли?
ADFS позволяет вам (соответственно администратору) определять несколько Доверие проверяющей стороны (RPT). Затем вы можете определить индивидуальный Правила преобразования эмиссии для каждого RPT. Поэтому, если для вашего приложения определен отдельный RPT, то для прекращения выдачи нежелательной заявки нужно просто удалить это утверждение из правил преобразования выдачи RPT, определенных для вашего приложения.
Вы упомянули, что это утверждение актуально и для других полагающихся сторон. Пока для этих RP определены другие RPT (и утверждение остается включенным в их Правила преобразования выдачи), все должно быть в порядке.
У вас есть доступ к полным Правилам преобразования выдачи для вашего приложения? Не могли бы вы разместить его здесь (не раскрывая конфиденциальной информации)? Может быть, это поможет прояснить ваш случай.