使用ADFS的InvalidNameIDPolicy

Question

我有很多使用SSO的客户端，因为我们使用的是SAML 2.我的许多客户端都使用Okta，PingIdentity和一些ADFS提供程序。在开始使用SAMLResponse时，始终在与ADFS进行集成时会引发此错误。

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

林质问名称标识符使用：

“瓮：绿洲：名称：TC：SAML：1.1：填充NameID格式：EMAILADDRESS”

林相当新的SAML和我只是想知道ADFS上发生了什么，因为这只是发生在使用它的客户端上。

非常感谢。

Answer 1

默认情况下，ADFS以“urn：oasis：names：tc：SAML：1.1：nameid-format：unspecified”的形式发送NameId格式。你可以调整它。请参阅：https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx

Answer 2

另一种方法是识别哪些属性需要映射到NameID例如电子邮件地址。

对电子邮件有一个正常的LDAP规则。

然后有一个转换规则将电子邮件转换为NameID并从下拉列表中选择您需要的NameID格式。