来自多个声明提供者的 ADFS 声明
ADFS Claims from multiple Claim Providers
我有一个 ADFS 环境,在默认的 Active Directory 声明提供程序旁边配置了第二个声明提供程序。
HomeRealm 发现是 "disabled" 因为我已经设置了我的 Web仅使用非 AD 声明提供程序的应用程序。
配置当前声明规则,以便来自第二个声明提供程序的声明包含在颁发给连接到我的 Web 应用程序的客户端的 Auth 令牌中.
是否可以将声明规则配置为将来自 Active Directory 和第二个声明提供程序的声明数据包含在 Auth 令牌中?
例如:Google[邮件] + ActiveDirectory[samAccountName] => 授权令牌
是的,这是可能的。关键点是如何将从第二个 Claim Provider 信任返回的 "user" 映射到 AD 用户。通常令牌必须包含可用于查询 AD 中的相应用户的声明。下面link展示了这种场景如何从AD查询更多的claims:
https://blogs.msdn.microsoft.com/pinch-perfect/2015/09/14/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider/
我有一个 ADFS 环境,在默认的 Active Directory 声明提供程序旁边配置了第二个声明提供程序。
HomeRealm 发现是 "disabled" 因为我已经设置了我的 Web仅使用非 AD 声明提供程序的应用程序。
配置当前声明规则,以便来自第二个声明提供程序的声明包含在颁发给连接到我的 Web 应用程序的客户端的 Auth 令牌中.
是否可以将声明规则配置为将来自 Active Directory 和第二个声明提供程序的声明数据包含在 Auth 令牌中?
例如:Google[邮件] + ActiveDirectory[samAccountName] => 授权令牌
是的,这是可能的。关键点是如何将从第二个 Claim Provider 信任返回的 "user" 映射到 AD 用户。通常令牌必须包含可用于查询 AD 中的相应用户的声明。下面link展示了这种场景如何从AD查询更多的claims: https://blogs.msdn.microsoft.com/pinch-perfect/2015/09/14/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider/