Senden von AD-Attributen als AD FS-Ansprüche an Shibboleth SP-Attribute

Senden von AD-Attributen als AD FS-Ansprüche an Shibboleth SP-Attribute

Ich habe einen AD FS-Anspruchsanbieter eingerichtet und einen Shibboleth-SP, der sich erfolgreich dagegen authentifiziert.

Ich versuche, die Active Directory-Attribute an den SP senden zu lassen.

Beim Versuch, die Ansprüche geltend zu machen, bin ich diesem Artikel gefolgt: https://technet.microsoft.com/en-us/library/gg317734(v=ws.10).aspx

Der relevante Abschnitt ist Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party--> Configure AD FS 2.0--> Edit Claim Rules for Relying Party Trust--> To configure eduPerson claims for sending to a relying party trust:

In Schritt 16 heißt es, ich solle Folgendes einfügen oder eingeben (es ist in zwei Codeblöcken unterteilt):

c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "Domain Users"]

Und

=> issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.9", Value = "[email protected]", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");

Ich glaube, es sollte eine einzelne Aussage sein (bitte korrigieren Sie mich, wenn ich falsch liege), daher lautet mein Eintrag wie folgt:

Bildbeschreibung hier eingeben

Ich teste mit dem Vornamen, also habe ich Folgendes hinzugefügt: Bildbeschreibung hier eingeben

Auf der Shibboleth-SP-Maschine habe ich attribute-map.xmlFolgendes hinzugefügt und dann den Shibboleth-Dienst neu gestartet:

<Attribute name="urn:mace:dir:attribute-def:GivenName" id="GivenName"/>

Wenn ich zur Website gehe und mich erneut mit AD FS authentifiziere, wird der angegebene Name nicht angezeigt. Ich habe eine Indexdatei, die alle Header und ihre Werte ausgibt.


Bearbeiten: Lösung für mein Problem


Ich habe den UPN zum Senden als epPN erhalten. Die obigen Regeln (die Regeln im Artikel) haben funktioniert, aber ich musste attribute-policy.xmlden Shibboleth SP bearbeiten, um die Gültigkeitsbereichsregeln zu deaktivieren, da ich diesen Teil nicht richtig eingerichtet hatte.

Ich habe die folgenden Zeilen auskommentiert in derattribute-policy.xml

afp:AttributeRule attributeID="eppn">
    <afp:PermitValueRuleReference ref="ScopingRules"/>
</afp:AttributeRule>

Antwort1

Ja, die Anspruchsregel (in zwei Zeilen angezeigt) ist eine „Anweisung“. Sie endet mit einem „;“. Das heißt, Sie fügen beide Zeilen derselben benutzerdefinierten Regel hinzu.

Für jeden ausgegebenen (gesendeten) Anspruch (Attribut) mit einer Objektkennungs-URI müssen Sie eine benutzerdefinierte Regel hinzufügen (unter der AD-Suchregel). Das heißt, wenn Sie „urn:oasis:names:tc:SAML:2.0:attrname-format:uri“ möchten. Wenn Sie nur die OID-URI möchten, reicht es aus, die Clam in „Anspruchsbeschreibungen“ zu definieren.

Normalerweise verwende ich eine leichte Abwandlung des Programms. Ich schreibe die Suchregel mit der Benutzeroberfläche, kopiere dann aber die Regel (aus „View Rule Language“) in eine benutzerdefinierte Regel. In der kopierten benutzerdefinierten Regel ändere ich „Problem“ in „Hinzufügen“. Und dann lösche ich die ursprüngliche Suchregel. Dadurch wird vermieden, dass sowohl die URL- als auch die URN-Ansprüche an Shib gesendet werden.

verwandte Informationen