ADFS 2.0：發送使用者證書的頒發者作為聲明

使用 ADFS 2.0，如果使用者使用 x509 證書進行身份驗證，我想向依賴方發送有關使用者證書頒發者的資訊。

這可能嗎？如何配置聲明描述和聲明規則？

AFAIK 在撰寫此回复時這是不可能的。

如果您按照http://msdn.microsoft.com/en-us/library/ee895365.aspx使用 TLS 客戶端處理程序，您將能夠發出http://schemas.microsoft.com/ws/2008/06 /identity/claims/authenticationmethod 聲明http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient如果使用證書登錄到 AD FS。

相反，如果您選擇使用身份驗證機制保證並且使用者使用適當映射到組的智能卡登錄到他們的 PC，則您的 Kerberos TGT 將在 PAC 中具有組 SID。因此，即使使用基於 Kerberos 的令牌訪問 AD FS 伺服器，它也能夠檢查令牌中的所述組 SID。這意味著您可以發出聲明以確保發生相關的智能卡登錄。

請注意，在上述場景中，沒有為 TLSClient 處理程序配置 AD FS。例如，如果您通過 AD FS 代理遠端訪問 AD FS（不是從 corpnet 且沒有 Kerberos），您將無法斷言此身份驗證機制保證。因此，您可以進行配置，其中某些依賴方只有在身份驗證機制保證按預期工作時才能訪問。

引用自：https://serverfault.com/questions/503581