Как (правильно) сопоставить Active Directory атрибуты исходящих утверждений?
Итак, я пытаюсь выяснить, как сопоставить номера сотрудников из активного каталога в качестве утверждений в моем приложении, поддерживающем утверждения. . Нам нужна какая-то пара "ключ-значение" в нашем приложении, чтобы учетные записи не становились сиротами, когда люди меняют свои имена (брак и т.д.).
What ' Как правильно сопоставить эти атрибуты как утверждения? Ниже я сделал это тем, что кажется очевидным способом сделать это, но при входе в систему мы получаем «Произошла ошибка» и совершенно бесполезное сообщение об ошибке, которое я приложу к внизу.
Для тех, у кого такая же проблема, просто используйте настройки в вопрос (они были отредактированы, чтобы отразить некоторые изменения, которые я внес). Они будут работать, чтобы добавить номер сотрудника к исходящей заявке в ADFS 3.0.
1. Нет встроенного «EmployeeNo» такого утверждения, если вы сами не создали настраиваемое утверждение. Вы можете найти все поддерживаемые утверждения в узле «Описание утверждений».
2. Когда вы используете «Отправить атрибуты LDAP как утверждения», вы должны убедиться, что атрибут (Employee-Number в вашем случае) был заполнен в AD, потому что когда Механизм утверждения правил выполняет поиск в базе данных AD для этого значения атрибута.
3. UPN, адрес электронной почты, общее имя, по крайней мере, один из этих трех типов утверждений идентичности должен присутствовать для выдачи токена. Обычно мы используем UPN в качестве идентификатора пользователя. Таким образом, вы также можете добавить UPN в правила преобразования выдачи.