Active-Directory
具有 Active Directory 屬性的 ADFS 元數據
在 Windows 2012 R2 上使用 ADFS。我創建了一個中繼方信任,它定義了一個聲明規則,該規則將 Active Directory 屬性映射到供應商系統中的命名屬性。
當我查看 federationmetadata.xml 文件時,我注意到這些屬性不存在,只有“Claim Descriptions”中列出的項目存在。
這是正常的嗎?顯然,應用程序供應商系統正在使用 PingFederate,他們希望這些屬性出現在元數據文件中。
遵循 Microsoft 支持人員的建議並創建了包含我想要包含的屬性的聲明描述項目,這些項目隨後出現在元數據文件中。應用發行轉換允許我將值映射到這些屬性。
這很正常。元數據文件包含您所說的“聲明描述”,以及 ADFS 場的端點、令牌簽名的公鑰和令牌解密證書;有關您的部署的一般資訊。所有這些,但不是您的依賴方配置(在我看來,這將是一個安全問題)。
您必須與應用程序供應商交換元數據文件。然後,您必須與您的供應商就以下問題達成一致:
- 您信任的標識符
- 您發送的索賠類型
- 這些聲明的允許值
- 是否要在系統之間加密令牌