Используя ADFS 2.0, я хотел бы отправить проверяющей стороне информацию об издателе сертификата пользователя, если пользователь прошел аутентификацию с использованием сертификата x509.
Это возможно? Как мне настроить описание утверждения и правило утверждения?
AFAIK это невозможно на момент написания этого ответа.
Если вы используете клиентский обработчик TLS согласно http://msdn.microsoft.com/en-us/library/ee895365.aspx вы сможете издать http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod требование http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient при использовании сертификата для входа в AD FS.
Если вместо этого вы решите использовать обеспечение механизма аутентификации и пользователи входят в свой компьютер с помощью смарт-карты, которая соответствующим образом сопоставлена с группой, ваш Kerberos TGT будет иметь SID группы в PAC. Следовательно, даже если к серверу AD FS был осуществлен доступ с использованием токена на основе Kerberos, он сможет проверить указанный групповой SID в токене. Это означает, что вы можете подать заявку, чтобы убедиться, что произошел соответствующий вход со смарт-картой.
Обратите внимание, что AD FS не настроен для обработчика TLSClient в приведенном выше сценарии. Если вы получаете доступ к AD FS удаленно (не из корпоративной сети и без Kerberos), например, через прокси-сервер AD FS, вы не сможете подтвердить этот механизм проверки подлинности. Следовательно, у вас может быть конфигурация, в которой определенные проверяющие стороны будут доступны только в том случае, если гарантия механизма аутентификации работает должным образом.