UPN を NameID として使用する Salesforce での ADFS SSO セットアップには、次の構成の ADFS があります。
Claim Rule Template: Send LDAP Attributes as Claims
Claim Rule Name: Send the UPN as NameID
LDAP Attribute: User Principal Name
Outgoing Claim Type: Name ID
すべてのユーザーに対してすべてが機能します。ただし、ユーザーの UPN が変更されると、ADFS からの SAML 応答の Subject タグに NameID タグが含まれなくなります。この異常な動作の原因は何でしょうか?
答え1
このブログを読んで(http://www.jonathanhardison.com/index.php/2012/07/05/adfs-2-0-claims-incomplete-or-wrong-on-username-change/)、サーバーを再起動して問題は解決しました。
ADFS がデータをキャッシュしているようですが、ADFS を再起動するとキャッシュがクリアされます。