InvalidNameIDPolicy, работающий с ADFS

У меня много клиентов, использующих SSO, для этого мы используем SAML 2. Многие из моих клиентов используют таких провайдеров, как Okta, PingIdentity и некоторые из них ADFS. Выполнение интеграции с ADFS всегда в начале вызывает эту ошибку, когда они возвращаются с ответом SAMLResponse.

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status>

Я прошу использовать в качестве идентификатора имени это:

"urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress"

Я новичок в SAML, и я просто хочу знать, что происходит в ADFS, поскольку это происходит только с клиентами, которые его используют.

Большое спасибо.


claims saml saml-2.0 adfs
person wcpaez    schedule 11.11.2016    source источник

Ответы (2)


arrow_upward
5
arrow_downward

По умолчанию ADFS отправляет формат NameId как «urn: oasis: names: tc: SAML: 1.1: nameid-format: unspecified». Вы можете это отрегулировать. См .: https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-Claments-provider-cp-during-saml-2-0-single-sign-on-sso.aspx

person Sam    schedule 11.11.2016

arrow_upward
3
arrow_downward

Другой способ сделать это - определить, какой атрибут нужно сопоставить с NameID, например. адрес электронной почты.

Имейте обычное правило LDAP для электронной почты.

Затем создайте правило преобразования, которое преобразует электронную почту в NameID, и выберите нужный формат NameID из раскрывающегося списка.

person rbrayb    schedule 13.11.2016