是否可以根據使用者的屬性傳遞 SAML 斷言?
在 Saleforce - ADFS SSO,AD 為 IdP。AD“使用者名”是 SAML 使用者 ID;
Salesforce 中有兩種類型的使用者(標準使用者和門戶使用者)。
對於門戶使用者的單點登錄;SAML 斷言必須包含另外兩個參數(帶有硬編碼值)。對於標準使用者的單點登錄;SAML 斷言不得包含這些參數。
是否可以在 AD 中實施以下解決方案?“在使用者對像上創建一個新欄位。如果它包含某些值,則傳遞參數。如果沒有值,則不要傳遞參數。”
或者
必須使用相同的 SP 設置兩個單獨的 SSO(每種類型的使用者一個)。是否可以在 ADFS 端實際設置兩個具有相同 SP 的 SSO?
注意:-完全不知道AD,如果問題沒有意義,請指出;會嘗試改寫。
是的,你可以做前者。
您可以定義新屬性或使用使用者對像上現有的未使用屬性。如果您沒有專門建構的屬性來儲存您打算儲存的數據,則首選擴展模式。請參閱http://msdn.microsoft.com/en-us/library/windows/desktop/ms676929(v=vs.85).aspx
請注意,僅使用專門為此目的定義的現有屬性。如果您重新使用目前未使用但後來被其他軟體認為必要的屬性,您可能會遇到困難。
然後按預期填充屬性。
然後,您可以使用自定義聲明規則,甚至在內置規則模板中提取 LDAP 屬性並發送聲明。如果未填充該屬性,則該 LDAP 查詢將不會返回數據。因此,特定的聲明不會被添加/發佈到管道中,也不會被發送。
從http://blogs.technet.com/b/askds/archive/2011/10/07/ad-fs-2-0-claims-rule-language-primer.aspx開始閱讀索賠規則。您可以閱讀底部連結的後續內容以獲取更多語法詳細資訊。