En Saleforce: ADFS SSO con AD como IdP. Siendo el 'Nombre de usuario' de AD el ID de usuario de SAML;
Hay dos tipos de usuarios (usuarios estándar y usuarios del portal) en Salesforce.
Para SSO de usuarios del portal; La aserción SAML debe contener dos parámetros más (con valores codificados). Para SSO de usuarios estándar; La aserción SAML NO debe contener estos parámetros.
¿Es posible implementar la siguiente solución en AD? "Cree un nuevo campo en el objeto de usuario. Si contiene cierto valor, pase parámetros. Si no hay ningún valor, no pase parámetros".
O
Se deben configurar dos SSO separados (uno para cada tipo de usuario) con el mismo SP. ¿Es posible configurar dos SSO con el mismo SP en el lado ADFS?
Nota: - Totalmente inconsciente de AD, si la pregunta no tiene sentido, indíquelo; Intentaré reformular.
Respuesta1
Sí, puedes hacer lo primero.
Puede definir nuevos atributos o utilizar atributos existentes no utilizados en el objeto de usuario. Es preferible ampliar el esquema si no tiene un atributo creado específicamente para almacenar los datos que desea almacenar. Verhttp://msdn.microsoft.com/en-us/library/windows/desktop/ms676929(v=vs.85).aspx
Tenga en cuenta que sólo utilice atributos existentes si están definidos específicamente para ese propósito. Si reutiliza un atributo que actualmente no se utiliza pero que luego se considera necesario para otro software, puede tener dificultades.
Luego complete los atributos según lo previsto.
Luego puede usar reglas de reclamo personalizadas o incluso la plantilla de reglas incorporada para extraer atributos LDAP y enviar reclamos. Si el atributo no está completo, esa consulta LDAP no devolverá datos. Por lo tanto, el reclamo específico no se agregará ni emitirá en el proceso y no se enviará.
Empezar conhttp://blogs.technet.com/b/askds/archive/2011/10/07/ad-fs-2-0-claims-rule-language-primer.aspxpara leer sobre las reglas de reclamos. Puede leer el contenido de seguimiento vinculado en la parte inferior para obtener más detalles de sintaxis.