Adfs
ADFS 2.0 電子郵件地址聲明轉換
我目前有一個 ADFS 2.0 環境,我們用它來為一堆外部 SaaS 應用程序(Cisco WebEx、Workday、Service Now 和 Cisco Jabber 等等)提供 SSO
我工作的業務已被收購,所有使用者的預設電子郵件地址正在更改。這將對大多數(如果不是全部)依賴方造成問題,因為他們都將電子郵件地址聲明用作使用者名或 ID。
我使用我們使用的一個開發 SaaS 應用程序進行了測試,並將 RPT 上的現有聲明從“傳遞所有聲明值”修改為“用新的電子郵件後綴替換傳入的電子郵件後綴聲明”,它的工作原理是預計使用測試帳戶。
有沒有更好的方法來處理這個?我寧願只轉換一次電子郵件地址屬性,也不願為每個 RPT 都做一次(如果可以的話!)
感謝你的幫助!弗朗西斯
我猜您使用聲明提供商信任“Active Directory”上的規則獲取使用者的電子郵件地址。你可以做的是:
創建一個新的聲明描述,例如此聲明類型:http: //schemas.xmlsoap.org/ws/2005/05/identity/claims/wrongemailaddress
替換您的 2 條規則:
AD CPT => get email from AD, put it in claim "emailaddress". SaaS RPT => pass through claim "emailaddress".有了這 3 個:
AD CPT => get email from AD, put it in claim "WRONGemailaddress". AD CPT => get claim "WRONGemailaddress", replace the email suffix, put the new value in a claim "emailaddress" (you can do all of this with a rule "Transform an Incoming Claim" I think) SaaS RPT => pass through claim "emailaddress".因此,您只是在修改一個信任的規則,即您的 AD 聲明提供者信任。