Saleforce の場合 - AD が IdP である ADFS SSO。AD の「ユーザー名」が SAML ユーザー ID です。
Salesforce には 2 種類のユーザー (標準ユーザーとポータル ユーザー) がいます。
ポータル ユーザーの SSO の場合、SAML アサーションにはさらに 2 つのパラメータ (ハードコードされた値を含む) が含まれている必要があります。標準ユーザーの SSO の場合、SAML アサーションにはこれらのパラメータが含まれていてはなりません。
次のソリューションを AD で実装することは可能ですか? 「ユーザー オブジェクトに新しいフィールドを作成します。特定の値が含まれている場合は、パラメーターを渡します。値がない場合、パラメーターを渡しません。」
または
同じ SP を使用して、2 つの個別の SSO (ユーザーの種類ごとに 1 つ) を設定する必要があります。ADFS 側で同じ SP を使用して 2 つの SSO を実際に設定することは可能ですか?
注: AD については全く知りません。質問が意味をなさない場合は指摘してください。言い換えるようにします。
答え1
はい、前者も可能です。
ユーザーオブジェクトで新しい属性を定義するか、既存の未使用の属性を使用することができます。保存するデータを格納するための専用の属性がない場合は、スキーマを拡張することをお勧めします。http://msdn.microsoft.com/en-us/library/windows/desktop/ms676929(v=vs.85).aspx
既存の属性は、その目的のために特別に定義されている場合にのみ使用することに注意してください。現在使用されていない属性を再利用して、後で他のソフトウェアに必要であると判断された場合、問題が発生する可能性があります。
次に、意図したとおりに属性を入力します。
次に、カスタム クレーム ルールを使用するか、組み込みのルール テンプレートを使用して LDAP 属性を抽出し、クレームを送信できます。属性が設定されていない場合、その LDAP クエリはデータを返しません。したがって、特定のクレームはパイプラインに追加/発行されず、送信されません。
皮切りにhttp://blogs.technet.com/b/askds/archive/2011/10/07/ad-fs-2-0-claims-rule-language-primer.aspxクレーム ルールについてお読みください。構文の詳細については、下部にリンクされているフォローアップ コンテンツをお読みください。