Adfs

ADFS 2.0 電子郵件地址聲明轉換

  • July 21, 2016

我目前有一個 ADFS 2.0 環境,我們用它來為一堆外部 SaaS 應用程序(Cisco WebEx、Workday、Service Now 和 Cisco Jabber 等等)提供 SSO

我工作的業務已被收購,所有使用者的預設電子郵件地址正在更改。這將對大多數(如果不是全部)依賴方造成問題,因為他們都將電子郵件地址聲明用作使用者名或 ID。

我使用我們使用的一個開發 SaaS 應用程序進行了測試,並將 RPT 上的現有聲明從“傳遞所有聲明值”修改為“用新的電子郵件後綴替換傳入的電子郵件後綴聲明”,它的工作原理是預計使用測試帳戶。

有沒有更好的方法來處理這個?我寧願只轉換一次電子郵件地址屬性,也不願為每個 RPT 都做一次(如果可以的話!)

感謝你的幫助!弗朗西斯

我猜您使用聲明提供商信任“Active Directory”上的規則獲取使用者的電子郵件地址。你可以做的是:

創建一個新的聲明描述,例如此聲明類型:http: //schemas.xmlsoap.org/ws/2005/05/identity/claims/wrongemailaddress

替換您的 2 條規則:

AD CPT => get email from AD, put it in claim "emailaddress".
SaaS RPT => pass through claim "emailaddress".

有了這 3 個:

AD CPT => get email from AD, put it in claim "WRONGemailaddress".
AD CPT => get claim "WRONGemailaddress",
         replace the email suffix,
         put the new value in a claim "emailaddress"
         (you can do all of this with a rule "Transform an Incoming Claim" I think)
SaaS RPT => pass through claim "emailaddress".

因此,您只是在修改一個信任的規則,即您的 AD 聲明提供者信任。

引用自:https://serverfault.com/questions/790973