Я хотел бы отправить objectGUID как требование с AD FS 2.0, работающим на Windows Server 2012.
Я знаю, что могу создать правила преобразования выдачи для отношения доверия с проверяющей стороной, но откуда AD FS 2.0 знает о objectGUID? Нужно ли мне добавлять описание претензии для objectGUID в AD FS \ Service \ Claim Descriptions?
В objectGuid Атрибут LDAP может быть отправлен как значение любого утверждения, используя «Отправить атрибуты LDAP как правило утверждений» и указав objectGuid как исходный атрибут. ADFS не имеет специальных знаний об атрибутах LDAP, и если бы вы расширили свою схему LDAP, вы могли бы использовать их так же легко, как и любые другие. Конкретная претензия, в которую вы должны его преобразовать, утверждается полагающейся стороной.
Если вы просто используете его как уникальный идентификатор пользователя, вы можете отправить его как http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier (Private Personal Identifier), но вы также можете отправить его в заявке, относящейся к вашей конкретной RP (именно тогда вам нужно будет добавить описание заявки).
Обратитесь ADFS: objectGUID как утверждение.
Проблема не столько в доступе к нему, сколько в том, что он «преобразует» его во что-то, что не соответствует исходной записи в AD.