我正在尝试配置SAML非图库企业应用,并且在配置声明时遇到问题。总结当前的声明,objectGUID作为名称标识符被发送。他们将extensionAttribute6作为OrgID发送。 GivenName,sn和e-mail地址被发送而没有任何更改。
AD Connect已配置为将objectGUID和extensionAttribute6同步到AAD,并且这些属性在Enterprise App的SSO配置刀片中可用。
我的问题是:
1)是否需要为objectGUID定义命名空间,还是可以仅从声明和名称标识符中的source属性中选择它?
2)如何将extensionAttribute6转换为OrgID?
ADFS中当前的声明规则为:
1)
c:[类型== “ http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”, 颁发者==“ AD AUTHORITY”] => issue(store =“ Active Directory”,类型=(“ GUID”),查询=“; objectGuid; {0}”,param = c.Value);
2)
c:[Type ==“ GUID”] => issue(Type =“ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, 发行者= c.Issuer,原始发行者= c.OriginalIssuer,值= c.Value, ValueType = c.ValueType, 属性[“ http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] =“ urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified”);
3)
c:[类型== “ http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”, 颁发者==“ AD AUTHORITY”] =>问题(存储=“ Active Directory”,类型=(“ givenName”,“ sn”,“ OrgID”,“邮件”),查询= “; givenName,sn,extensionAttribute6,mail; {0}”,param = c.Value);
答案 0 :(得分:0)
将User.ObjectID映射为NameID声明时,不必指定名称空间。另请注意,请勿选择任何NameID格式并将其保留为Default。 Azure AD确实支持成对的名称标识符。这意味着,如果服务提供商正在发送NameID格式,则应用程序将根据SAML请求中指定的格式从Azure AD获取该ID。
如果您尝试将User.ObjectID声明映射为另一个声明,则可以根据需要添加Namespace值,但它基于应用程序需要的方式。
关于转换OrgID,我不确定您要发送的内容。您可以将其定义为声明名称,然后选择ExtensionAttribute 6作为值,如果用户存在该值,则应该在SAML响应中看到它。
我希望这会有所帮助。
感谢和问候,
Jeevan Desarda