Spring 安全 SAML 扩展将 ADFS 3.0 与其他声明提供程序集成

Question

我遵循第 12.0 章关于使用 spring 和 adfs 作为 IdP 的说明： http://docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#chapter-idp-guide

并且我可以使用第一个 ADFS 成功登录应用程序。 但是如果使用另一个 ADFS 中的另一个帐户作为第一个的声明提供者，我将失败。

我还发现似乎有人找到了描述的解决方案 Configuring ADFS 3.0 / SAML 2.0 to work with Spring Security for SSO integration

但我无法获得详细信息... 返回文档才发现 将 NameID 添加为 "Claim rule name"，选择 "Active Directory" 作为属性存储，选择 "SAM-Account-Name" 作为 LDAP 属性，选择 "Name ID" 作为 "Outgoing claim type"，完成向导并确认声明规则 window，在 ADFS 3.0 中，您可能需要将名称 ID 配置为传递声明

是否有人可以详细提供如何将名称 ID 配置为 spring saml 扩展的直通声明？

提前致谢。

Answer 1

经过一番研究，终于找到了解决办法。

需要在 2 个 ADFS 之间定义声明规则。 在声明提供程序 ADFS 中，您需要在依赖方信任中配置规则。添加规则 "Send LDAP attribute as claims" 和属性存储选择 "Active directory" LDAP 属性 select "SAN-ACCOUNT-NAME"，传出声明选择 "Given Name"

在资源方ADFS中，需要在Claims Provider Trusts中配置规则。添加规则 "Transform an Incoming Claim"。传入声明类型选择 "Given Name"，传出声明类型选择 "Name ID"，格式选择 "Unspecified" 您还需要在 Relying Party Trusts 中配置规则。添加规则 "Pass Through or Filter an Incoming Claim"。传入声明类型选择 "Name ID"，格式选择 "Unspecified"

这些声明规则设置后。然后您可以使用位于受信任的 ADFS 中的帐户登录 spring saml2 扩展项目。