解释ADFS声明规则

Question

我有一个使用SSO许多客户，对于我们使用SAML 2，我的许多客户使用像1563，PingIdentity和一群人ADFS的供应商。这样做有ADFS的整合总是在一开始提出和错误，然后他们解决这个与自己身边的以下设置：

变换传入声明

• 传入声明= UPN

• 传出声明=姓名ID

• 传出名称ID格式=电子邮件

，我们看到了SAML效应初探错误是，他们不发送NameID的，相反，我们看到：

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

这只是ADFS整合发生，我想知道应该怎样我知道有关ADFS的声明规则，以便解决此错误，并向使用ADFS的以下客户端进行解释。

Answer 1

这是一个转换声明规则。

在客户端的元数据，你会看到如下：

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat> 
     <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat> 

这些都是允许的格式填充NameID。

传出的NameID格式需要是其中之一。

因此，例如，电子邮件将是：

Incoming claim = Email 

Outgoing Claim = NameID 

Outgoing name ID format = Email 

您将首先有正常的电子邮件LDAP规则，然后如上所述的变换规则。