Tengo un proveedor de notificaciones de AD FS configurado y un Shibboleth SP que se autentica correctamente.
Estoy intentando enviar los atributos de Active Directory al SP.
Seguí este artículo para intentar enviar los reclamos: https://technet.microsoft.com/en-us/library/gg317734(v=ws.10).aspx
La sección relevante es Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party--> Configure AD FS 2.0--> Edit Claim Rules for Relying Party Trust--> To configure eduPerson claims for sending to a relying party trust:
En el Paso 16, indica que debo pegar o escribir lo siguiente (y lo tiene en 2 bloques de código):
c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "Domain Users"]
y
=> issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.9", Value = "[email protected]", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
Creo que debía ser una declaración única (corríjame si me equivoco), por lo que mi entrada es la siguiente:
Estoy probando con el nombre dado, así que agregué lo siguiente:
En la máquina Shibboleth SP, edité attribute-map.xmlagregando lo siguiente y luego reinicié el servicio Shibboleth:
<Attribute name="urn:mace:dir:attribute-def:GivenName" id="GivenName"/>
Cuando navegué al sitio web y volví a autenticarme con AD FS, no veo el nombre dado. Tengo un archivo de índice que genera todos los encabezados y sus valores.
Editar: Solución a mi problema
Conseguí que UPN se enviara como epPN. Las reglas anteriores (las reglas del artículo) funcionaron, pero tuve que editarlas attribute-policy.xmlen el Shibboleth SP para desactivar las reglas de alcance, ya que no tenía esa parte configurada correctamente.
Comenté las siguientes líneas en elattribute-policy.xml
afp:AttributeRule attributeID="eppn">
<afp:PermitValueRuleReference ref="ScopingRules"/>
</afp:AttributeRule>
Respuesta1
Sí, la regla de reclamaciones (que se muestra en dos líneas) es una "declaración". Termina con el ';'. Es decir, agrega ambas líneas a la misma regla personalizada.
Para cada reclamo (atributo) emitido (enviado) con un identificador de objeto uri, debe agregar una regla personalizada (debajo de la regla de búsqueda de AD). Es decir, si desea "urn:oasis:names:tc:SAML:2.0:attrname-format:uri". Si solo desea el uri oid, entonces es suficiente definir la almeja en "Descripciones de reclamos".
Normalmente utilizo una ligera variación del programa. Escribo la regla de búsqueda con la interfaz de usuario, pero luego la copio (de "Ver idioma de regla") a una regla personalizada. En la regla personalizada copiada, cambio "problema" por "agregar". Y luego elimino la regla de búsqueda original. Esto evita enviar notificaciones de URL y URN a Shib.