如何解决如何在 ADFS 中初始化输入声明集
我对声明规则及其在 ADFS 中的处理方式有疑问。根据我阅读 [this] (https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-the-claims-engine) 后的理解,声明规则执行分为三个部分 - 初始化(创建输入声明集并将输入声明放置在此处),声明规则中条件和规则的执行,以及向依赖方发出债权。我想了解的是,如果只有默认声明信任提供者,即 AD 并且用户登录尝试执行 IdP 发起的 SAML,那么在初始阶段,输入声明集是否填充了用户的所有属性广告?在执行过程开始之前,由谁或什么决定输入声明中将出现什么内容?
解决方法
在登录时,声明提供程序(在您的情况下为 AD)上的声明规则决定了管道中可用的内容。并非所有在 AD 中为用户填充的用户属性都会被读取。例如。如果移动设备已填充,则不会读取并映射到某些声明。 因此,在验证凭据后,声明中的 AcceptanceTransformRules
登录后,IssuanceAuthorizationRules 用于决定是否发出声明。假设您以至少一个许可和零个拒绝通过此阶段,那么您将进入依赖方的发布转换规则处理阶段。
当执行依赖方定义的发布转换规则并且您选择发布使用 AD 属性(例如 mobile)的声明时,您可以选择使用移动属性值发布类似 http://myorg.com/mobile 的声明。此时将使用用于使用 AD 属性存储的 LDAP 查询。您还可以选择使用在登录时添加的传入声明作为此阶段的输入来决定向管道添加/发布什么内容。
处理完所有发布转换规则后,根据您选择明确传递的内容,在声明提供者信任级别添加到管道的声明可能会或可能不会发送到依赖方。
使用 https://adfshelp.microsoft.com/ClaimsXray/TokenRequest 在 CP 和 RP 信任级别上使用不同的规则组合来进一步理解。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
