AD 특성을 Shibboleth SP 특성에 대한 AD FS 클레임으로 보내기

AD 특성을 Shibboleth SP 특성에 대한 AD FS 클레임으로 보내기

AD FS 클레임 공급자가 설정되어 있고 Shibboleth SP가 이에 대해 성공적으로 인증하고 있습니다.

Active Directory 특성을 SP로 보내려고 합니다.

나는 이 기사를 따라 클레임을 보내려고 했습니다. https://technet.microsoft.com/en-us/library/gg317734(v=ws.10).aspx

관련 섹션은 Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party--> Configure AD FS 2.0--> Edit Claim Rules for Relying Party Trust--> 입니다 To configure eduPerson claims for sending to a relying party trust.

16단계에서는 다음을 붙여넣거나 입력해야 한다고 명시되어 있습니다(2개의 코드 블록에 포함되어 있음).

c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "Domain Users"]

그리고

=> issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.9", Value = "[email protected]", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");

나는 그것이 단일 진술을 의미한다고 믿습니다(틀렸다면 정정해 주십시오). 따라서 내 항목은 다음과 같습니다.

여기에 이미지 설명을 입력하세요

주어진 이름으로 테스트 중이므로 다음을 추가했습니다. 여기에 이미지 설명을 입력하세요

Shibboleth SP 시스템에서 attribute-map.xml다음을 추가하여 편집한 다음 Shibboleth 서비스를 다시 시작했습니다.

<Attribute name="urn:mace:dir:attribute-def:GivenName" id="GivenName"/>

웹 사이트를 탐색하고 AD FS로 다시 인증할 때 주어진 이름이 표시되지 않습니다. 모든 헤더와 해당 값을 출력하는 인덱스 파일이 있습니다.


편집: 내 문제에 대한 해결책


epPN으로 보낼 UPN을 얻었습니다. 위의 규칙(기사의 규칙)은 작동했지만 attribute-policy.xml해당 부분을 제대로 설정하지 않았기 때문에 Shibboleth SP에서 범위 지정 규칙을 비활성화하도록 편집해야 했습니다.

나는 다음 줄을 주석 처리했습니다.attribute-policy.xml

afp:AttributeRule attributeID="eppn">
    <afp:PermitValueRuleReference ref="ScopingRules"/>
</afp:AttributeRule>

답변1

예, 클레임 규칙(두 줄로 표시됨)은 하나의 '설명'입니다. ';'으로 끝납니다. 즉, 동일한 사용자 정의 규칙에 두 줄을 모두 추가합니다.

개체 식별자 uri가 포함된 각 발급(전송) 클레임(특성)에 대해 사용자 지정 규칙(AD 검색 규칙 아래)을 추가해야 합니다. 즉, "urn:oasis:names:tc:SAML:2.0:attrname-format:uri"를 원하는 경우입니다. oid uri만 원하는 경우 "클레임 설명"에서 조개를 정의하는 것으로 충분합니다.

일반적으로 나는 프로그램에 약간의 변형을 사용합니다. UI를 사용하여 검색 규칙을 작성한 다음 규칙("규칙 보기 언어"에서)을 사용자 지정 규칙에 복사합니다. 복사된 맞춤 규칙에서 "문제"를 "추가"로 변경합니다. 그런 다음 원래 검색 규칙을 삭제합니다. 이렇게 하면 URL과 URN 클레임을 모두 Shib에 보내는 것을 방지할 수 있습니다.

관련 정보