Прошу прощения, если это необразованный вопрос, но я уже немного отчаялся.
На работе у нас есть несколько клиентов, которые все еще используют версии ADFS до 2.0, которые пошли по маршруту SAML2, и я пытаюсь создать поддержку WebSSO, используя эти версии в качестве поставщика удостоверений. У меня уже есть поддержка ADFS 2.0+, Shibboleth и Okta.
Я тестирую сервер учетных записей "adatum", поскольку слежу за Microsoft пошаговое руководство чтобы получить рабочую установку, с которой я могу протестировать.
Я дошел до того, что мне удалось запросить и получить полезные данные RequestSecurityTokenResponse, которые ADFS доставляет в мою конечную точку входа, когда пользователь аутентифицирован, но я не понимаю, как получить основную информацию, такую как электронная почта а также имя и фамилия, включенные в него.
Единственный раз, когда мне удалось отправить что-нибудь в attributeStatement
вообще, когда я сопоставляю одну из двух групп «Trey * AppUsers», созданных в руководстве.
Включение утверждений личности E-mail
или Common Name
тоже ничего не добавляет.
Я пытался
Organization Claim
Custom Claim Extraction
из AD Account Store
для этогоsAMAccountName
, givenName
, и displayName
)Outgoing Custom Claim Mapping
для этого на Resource Partner
Я создал для своего SP, но до сих пор ничего не достает ...Я не знаю почему, и поиск в Google помощи для этих версий ADFS чрезвычайно сложен, усугубляется тем фактом, что я не привык к Windows, и я определенно не системный администратор: D
Предполагая, что на этот вопрос стоит ответить, может ли кто-нибудь дать мне несколько указаний, имея в виду, что я (очевидно) довольно отсталый в этой области?
Спасибо :)
Даниэль
Ладно, это смешно. Видя таких гидов, как этот одно заставило меня еще больше сбить с толку, поскольку оно в основном говорит мне делать именно то, что я уже делаю. Поэтому я попытался создать нового партнера по ресурсам с точно такой же конфигурацией, что и предыдущий, и, о чудо, теперь я могу сопоставить претензии AD, и они все это проходят!
Я не вижу никакой разницы между двумя RP, за исключением того, что один из них может отправлять заявки из AD, а другой - нет. Возможно, моя возня со всевозможными настройками как-то сломала его.
Я не собираюсь снимать свой вопрос, поскольку я предполагаю, что кто-то другой может испытать то же самое, и если так, я могу просто сказать: попробуйте создать точную копию конфигурации Resource Partner, которая не работает, это может сработать!