如何（正確）將 Active Directory 屬性映射到傳出聲明？

因此，我試圖弄清楚如何將活動目錄中的員工編號映射為我的索賠感知應用程序中的索賠。我們需要在我們的應用程序中使用某種鍵值對，這樣當人們更改姓名（婚姻等）時，帳戶就不會成為孤兒。

將這些屬性映射為聲明的正確方法是什麼？下面我以似乎很明​​顯的方式完成了它，但是在登錄時，我們得到“發生錯誤”和完全無用的錯誤消息，我將附在底部。

對於任何有同樣問題的人，只需使用問題中的設置（它們已經過編輯以反映我所做的一些更改）。這些將用於將員工編號添加到 ADFS 3.0 中的傳出聲明。

1.除非您自己創建了自定義聲明，否則沒有內置的“EmployeeNo”這樣的聲明。您可以在聲明描述節點上找到所有受支持的聲明。

2.當您使用“將 LDAP 屬性作為聲明發送”時，您應該確保屬性（在您的情況下為員工編號）已在 AD 中填充，因為當聲明規則引擎執行時，它將在 AD 數據庫中查找該屬性值。

3.UPN、電子郵件地址、通用名稱，必須存在這三種身份聲明類型中的至少一種才能頒發令牌。通常我們使用 UPN 作為使用者的身份。因此，您也可以在頒發轉換規則中添加 UPN。

引用自：https://serverfault.com/questions/829094