我正在尝试解决为什么我们的某些用户未获得自定义属性商店的声明。
我们用于身份验证的主要属性存储是Active Directory,但我们使用两个自定义属性存储来向用户发出多个自定义声明,并执行一些已发布声明的日志记录。受影响的用户登录时,AD会成功对其进行身份验证,但不再添加任何声明。根据我们的属性存储中的日志记录,从不调用BeginExecuteQuery。
我看不到任何链接受影响用户的内容,但他们似乎主要是新用户,或者长时间未登录系统的用户。重新启动ADFS有时可以解决问题,但它是否存在似乎是随机的。
我试图理解为什么某些用户在登录时ADFS会忽略属性存储,当它适用于其他用户时。如果有一个快速保证的临时修复来正确发出用户的声明,那也是有用的!
出于安全原因,我无权访问ADFS调试跟踪。
答案 0 :(得分:0)
最终通过向Microsoft的AD FS支持团队拨打了大量电话来解决这个问题。该问题可以追溯到我们的声明规则语言,它使用lastLogon和lastLogonTimestamp AD属性而不了解它们的实际行为方式。这意味着对于某些用户来说,从未满足授予自定义声明的条件。