1. Zuhause
  2. Frage und Antwort
  3. AD FS 3.0 über SamAccountName mit Shibboleth verbinden Name ID

AD FS 3.0 über SamAccountName mit Shibboleth verbinden Name ID

2017-11-14 3 views
0

Ich muss einen AD FS 3.0 Identity Provider (IDP) mit einem Shibboleth Service Provider/Relying Party verbinden, den ich nicht kontrolliere. Leider verwenden AD FS und Shibboleth nicht das gleiche Format für Ansprüche/Attribute.AD FS 3.0 über SamAccountName mit Shibboleth verbinden Name ID

Es gibt eine Menge Informationen im Internet darüber, und die Notwendigkeit für zwei Regeln (eine, um den Wert aus Active Directory abzurufen, und eine, um es mit Shibboleth zu vergleichen), aber viel davon ist geschrieben für AD FS 2.0 oder benutzt die E-mail Adresse als die Namens-ID (ich benötige wirklich SamAccountName für dieses).

Wie kann ich mein AD FS-IDP dazu bringen, einen Anspruch mit dem Windows-Kontonamen zu erstellen, den Shibboleth akzeptiert?

Quelle

2017-11-14 Joel Coehoorn

Antwort

0

Schließlich fand ich die Antwort hier: für eine Reihe von Active Directory-Felder, einschließlich SamAccountName/windows-Konto-Name

https://cccnext.jira.com/wiki/spaces/CSF/pages/147817839/Attributes+for+the+Proxy+AD+FS

die Listen benutzerdefinierte verknüpfen Paare entscheiden.

Die Regeln verwendete ich wie folgt aussehen:

@Rulename="Get sAMAaccountName" 

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] 
=> add(store = "Active Directory", types = ("urn:oid:1.2.840.113556.1.4.221"), query = ";sAMAccountName;{0}", param = c.Value); 

@Rulename="Convert sAMAccountName/uid xml" 

c:[Type == "urn:oid:1.2.840.113556.1.4.221"] 
=> issue(Type = "urn:oid:0.9.2342.19200300.100.1.1", Value = c.Value, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");

Dies als Teil eines Powershell-Skript enthalten waren, aber Sie können sie über die AD FS-Schnittstelle hinzufügen, indem Sie benutzerdefinierte Anspruch Regeln hinzufügen.

Dies kann immer noch eine Änderung am Shibboleth Ende erfordern. Bevor ich so weit kam, meldete ein Servicetechniker am anderen Ende, dass Attribute ausgeschlossen wurden, die ausgeschlossen wurden, und änderte, um dieses Attribut zuzulassen. Das war jedoch ein anderes Regelwerk. Ich weiß nicht, ob dieses Regelwerk diese Änderung ausnutzt oder nicht.

Quelle

2017-11-14 16:34:53

Verwandte Themen

 Verwandte Themen