Erklären ADFS Claim Regeln

Question

Ich habe viele Clients, die SSO verwendet, für die wir SAML 2 verwenden. Viele meiner Clients verwendet Anbieter wie Okta, PingIdentity und einige von ihnen ADFS. Dadurch könnte die Integration mit ADFS immer am Anfang erhöht und Fehler, und sie beheben diese dann mit dem folgenden Setup auf ihrer Seite:

Transformation Eingehender Anspruch

• Incoming Anspruch = UPN

• Outgoing Anspruch = Name ID

• Outgoing Name ID-Format = Email

Der Fehler, dass wir auf dem saml reponse sah, dass sie nicht über eine NameID schicken, anstatt wir sehen:

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

Dies ist nur mit ADFS Integration geschieht, und ich möchte wissen, was sollte Ich kenne die Anspruchsregeln für ADFS, um diesen Fehler zu unterschätzen und meinen folgenden Kunden, die ADFS verwenden, zu erklären.

Answer 1

Dies ist eine Transform-Claim-Regel.

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> 

Dies sind die erlaubt NameID Formate:

Im Client-Metadaten, sollten Sie so etwas wie sehen.

Das ausgehende NameID-Format muss eines davon sein.

Also z.B. E-Mail wäre:

Sie müssten zuerst die normale E-Mail-LDAP-Regel und dann die Transform-Regel wie oben.