具有 Active Directory 屬性的 ADFS 元數據

在 Windows 2012 R2 上使用 ADFS。我創建了一個中繼方信任，它定義了一個聲明規則，該規則將 Active Directory 屬性映射到供應商系統中的命名屬性。

當我查看 federationmetadata.xml 文件時，我注意到這些屬性不存在，只有“Claim Descriptions”中列出的項目存在。

這是正常的嗎？顯然，應用程序供應商系統正在使用 PingFederate，他們希望這些屬性出現在元數據文件中。

遵循 Microsoft 支持人員的建議並創建了包含我想要包含的屬性的聲明描述項目，這些項目隨後出現在元數據文件中。應用發行轉換允許我將值映射到這些屬性。

這很正常。元數據文件包含您所說的“聲明描述”，以及 ADFS 場的端點、令牌簽名的公鑰和令牌解密證書；有關您的部署的一般資訊。所有這些，但不是您的依賴方配置（在我看來，這將是一個安全問題）。

您必須與應用程序供應商交換元數據文件。然後，您必須與您的供應商就以下問題達成一致：

• 您信任的標識符
• 您發送的索賠類型
• 這些聲明的允許值
• 是否要在系統之間加密令牌

引用自：https://serverfault.com/questions/640399