Объясните правила претензии ADFS

Question

У меня много клиентов, использующих SSO, для чего мы используем SAML 2. Многие из моих клиентов используют таких поставщиков, как Okta, PingIdentity и их группу ADFS. Делая интеграцию с ADFS всегда в начале поднимает и ошибок, а затем они это исправить с помощью следующей установки на их стороне:

Transform Incoming Claim

• Входящие претензии = UPN

• Исходящая Претензия = имя ID

• исходящего формат имя ID = Email

ошибка, которую мы видели на SAML réponse, что они не посылают NameID, вместо этого мы видим это:

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

Это просто происходит с ADFS интеграций, и я хочу знать, что должно Я знаю правила претензий в ADFS, чтобы недооценить эту ошибку и объяснить моим следующим клиентам, использующим ADFS.

Answer 1

Это правило требования Transform.

В метаданных клиента, вы должны увидеть что-то вроде:

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> 

Этих допустимых форматов NameID.

Исходящий формат именID должен быть одним из них.

Так, например, адрес электронной почты будет:

Incoming claim = Email 

Outgoing Claim = NameID 

Outgoing name ID format = Email 

Сначала вы должны иметь обычное правило LDAP электронной почты, а затем правило преобразования, как указано выше.