Я сожалею, если это - необразованный вопрос, но я становлюсь немного отчаянным здесь.
На работе у нас есть несколько клиентов, которые все еще используют версии ADFS до 2,0, который пошел путем SAML2, и я пытаюсь создать поддержку WebSSO с помощью тех версий в качестве поставщика идентификационных данных. У меня уже есть поддержка ADFS 2.0 +, Шибболет и Okta.
Я тестирую против сервера учетной записи "adatum", поскольку я следовал пошаговому руководству Microsoft для получения рабочих настроек, против которых я могу протестировать.
Я добрался до сих пор, что мне удалось запросить и получить полезные нагрузки RequestSecurityTokenResponse, которые ADFS поставляет в моей конечной точке входа в систему, когда пользователь аутентифицируется, но я в замешательстве с того, как получить основную информацию, такую как электронная почта и имя и фамилия, включенное с нею.
Единственное время мне удалось представить что-либо attributeStatement
вообще, когда я отображаю одну из двух групп "Trey*AppUsers", созданных в руководстве.
Включение требований идентификационных данных E-mail
или Common Name
не добавляет ничто, также.
Я попытался
Organization Claim
Custom Claim Extraction
от AD Account Store
для негоsAMAccountName
, givenName
, и displayName
)Outgoing Custom Claim Mapping
для него на Resource Partner
Я создал для своего SP, но я все еще ничего не вывожу...Я не знаю, почему, и гуглящий для справки для этих версий ADFS является чрезвычайно трудным, усугублен тем, что я не привык к Windows, и я совершенно определенно не системный администратор :D
Принятие этого является вопросом, достойным того, чтобы быть отвеченным, кто-то мог дать мне несколько подсказок, принимая во внимание, что я (очевидно), справедливо задержан в этой области?
Спасибо :)
Daniel
Ладно, это смешно. Увидев такие руководства, как этот , я еще больше озадачился, так как в основном велит мне делать именно то, что я уже делаю. Итак, я попытался создать нового партнера по ресурсам с точно такой же конфигурацией, что и предыдущий, и, о чудо, теперь я могу сопоставить утверждения AD, и они все это проходят!
Я не вижу, чтобы там что-то было Разница между двумя RP, за исключением того, что один из них может отправлять заявки из AD, а другой - нет. Возможно, моя возня со всевозможными настройками как-то сломала его.
Я не собираюсь снимать свой вопрос, поскольку я предполагаю, что кто-то другой может испытать то же самое, и если да, я могу просто сказать: Попробуйте создайте точную копию конфигурации Resource Partner, которая дает сбой, это может сработать!