InvalidNameIDPolicy, работающий с ADFS

Question

У меня много клиентов, которые используют SSO, для этого мы используем SAML 2. Многие из моих клиентов используют таких поставщиков, как Okta, PingIdentity и их группу ADFS. Выполнение интеграции с ADFS всегда в начале вызывает эту ошибку, когда они возвращаются с помощью SAMLResponse.

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

Im просят использовать в качестве имени идентификатора этого:

"урна: оазис: имена: дц: SAML: 1,1: NameID формат: EMAILADDRESS"

Im довольно новый для SAML и I просто хочу знать, что происходит в ADFS, так как это происходит только с клиентами, которые используют это.

Большое спасибо.

Answer 1

По умолчанию ADFS отправляет формат NameId как «urn: oasis: names: tc: SAML: 1.1: nameid-format: unpecified». Вы можете настроить его. См.: https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx

Answer 2

Другой способ сделать это - идентифицировать, какой атрибут необходимо сопоставить с NameID, например. адрес электронной почты.

У вас нормальное правило LDAP для электронной почты.

Затем у вас есть правило Transform, которое преобразует электронную почту в NameID и в раскрывающемся списке выбирает нужный формат NameID.