Adfs

是否可以根據使用者的屬性傳遞 SAML 斷言?

  • December 17, 2013

在 Saleforce - ADFS SSO,AD 為 IdP。AD“使用者名”是 SAML 使用者 ID;

Salesforce 中有兩種類型的使用者(標準使用者和門戶使用者)。

對於門戶使用者的單點登錄;SAML 斷言必須包含另外兩個參數(帶有硬編碼值)。對於標準使用者的單點登錄;SAML 斷言不得包含這些參數。

是否可以在 AD 中實施以下解決方案?“在使用者對像上創建一個新欄位。如果它包含某些值,則傳遞參數。如果沒有值,則不要傳遞參數。”

或者

必須使用相同的 SP 設置兩個單獨的 SSO(每種類型的使用者一個)。是否可以在 ADFS 端實際設置兩個具有相同 SP 的 SSO?

注意:-完全不知道AD,如果問題沒有意義,請指出;會嘗試改寫。

是的,你可以做前者。

您可以定義新屬性或使用使用者對像上現有的未使用屬性。如果您沒有專門建構的屬性來儲存您打算儲存的數據,則首選擴展模式。請參閱http://msdn.microsoft.com/en-us/library/windows/desktop/ms676929(v=vs.85).aspx

請注意,僅使用專門為此目的定義的現有屬性。如果您重新使用目前未使用但後來被其他軟體認為必要的屬性,您可能會遇到困難。

然後按預期填充屬性。

然後,您可以使用自定義聲明規則,甚至在內置規則模板中提取 LDAP 屬性並發送聲明。如果未填充該屬性,則該 LDAP 查詢將不會返回數據。因此,特定的聲明不​​會被添加/發佈到管道中,也不會被發送。

http://blogs.technet.com/b/askds/archive/2011/10/07/ad-fs-2-0-claims-rule-language-primer.aspx開始閱讀索賠規則。您可以閱讀底部連結的後續內容以獲取更多語法詳細資訊。

引用自:https://serverfault.com/questions/561857