我有一个ADFS环境,在默认的Active Directory声明提供程序旁边配置了第二个声明提供程序。
HomeRealm发现被“禁用”,因为我已将我的Web应用程序设置为仅使用非-AD Claim Provider。
当前的声明规则被配置为使来自第二声明提供者的声明包含在发给连接到我的Web应用程序的客户端的Auth令牌中。
是否可以配置声明规则,使来自Active Directory和第二个声明提供程序的声明数据都包含在Auth令牌中?
例如:Google [mail] + ActiveDirectory [samAccountName] =>验证令牌
答案 0 :(得分:1)
是的,有可能。关键点是如何将从第二个Claim Provider信任者返回的“user”映射到AD用户。通常,令牌必须包含可用于在AD中查询相应用户的声明。以下链接显示如何从AD查询此类方案的更多声明: https://blogs.msdn.microsoft.com/pinch-perfect/2015/09/14/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider/