В настоящее время у меня есть среда ADFS 2.0, которую мы используем для обеспечения единого входа для множества внешних приложений SaaS (Cisco WebEx, Workday, Service Now и Cisco Jabber, чтобы назвать несколько)
Компания, в которой я работаю, была приобретена, и адреса электронной почты всех пользователей по умолчанию меняются. Это вызовет проблемы для большинства (если не для всех) Проверяющих сторон, поскольку все они используют утверждение адресов электронной почты в качестве имени пользователя или идентификатора.
Я провел тест с одним из приложений SaaS для разработчиков, которые мы используем, и изменил существующее требование в RPT с «Пропустить все значения требований» на «Заменить суффиксные утверждения входящей электронной почты новым суффиксом электронной почты», и оно сработало как ожидается с использованием тестовой учетной записи.
Есть ли лучший способ справиться с этим? Я бы предпочел преобразовать атрибут адреса электронной почты только один раз, чем делать это для каждого RPT (если это возможно!)
Спасибо за вашу помощь! Фрэнсис
Я предполагаю, что вы получите адреса электронной почты своих пользователей, используя правило доверия поставщика утверждений "Active Directory". Что вы могли бы сделать:
Создайте новое описание утверждений, например, с таким типом утверждения: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/wrongemailaddress
Замените 2 правила:
AD CPT => get email from AD, put it in claim "emailaddress".
SaaS RPT => pass through claim "emailaddress".
С этими 3:
AD CPT => get email from AD, put it in claim "WRONGemailaddress".
AD CPT => get claim "WRONGemailaddress",
replace the email suffix,
put the new value in a claim "emailaddress"
(you can do all of this with a rule "Transform an Incoming Claim" I think)
SaaS RPT => pass through claim "emailaddress".
Таким образом, вы изменяете правила только на одном доверии, доверии вашего поставщика утверждений AD.