我正在构建一个SAAS应用程序,它需要与客户端的ADFS服务器进行SSO。是否可以获取用户的AD个人资料图片的URL以在SAML令牌中显示为声明,以便我可以在我的应用中显示它?
答案 0 :(得分:2)
是的,但URL需要来自某个商店,例如AD本身或SQL数据库。您可以添加将其添加到令牌的声明规则。
答案 1 :(得分:0)
您可以将AD个人资料图片作为索赔传递给您的RP应用程序。然后,您可以保存RP应用程序数据库中的个人资料图片,并从那里提供服务。
要做到这一点,只需选择thumbnailPhoto或jpegPhoto(您在AD中用于存储照片的任何属性)作为属性传递"将LDAP属性作为声明传递"规则。
您希望在RP方面做的一件事是立即将图片声明保存到RP数据库,然后从声明集中删除声明。收到令牌后立即执行此操作,否则图片声明将持久保存到RP会话cookie中,这会使其膨胀很多。