在 Saleforce 中 - ADFS SSO,其中 AD 是 IdP。 AD「使用者名稱」是 SAML 使用者 ID;
Salesforce中有兩種類型的使用者(標準使用者和入口網站使用者)。
用於入口網站使用者的單一登入; SAML 斷言必須包含另外兩個參數(具有硬編碼值)。適用於標準使用者的單一登入; SAML 斷言不得包含這些參數。
以下解決方案可以在 AD 中實施嗎? “在用戶物件上建立一個新字段,如果包含一定值,則傳遞參數。如果沒有值,則不傳遞參數。”
或者
必須使用同一 SP 設定兩個單獨的 SSO(每種類型的使用者一個)。是否可以在 ADFS 端實際設定兩個具有相同 SP 的 SSO?
注意:- 完全不知道 AD,如果問題沒有意義,請指出;將嘗試改寫。
答案1
是的,你可以做前者。
您可以定義新屬性或使用使用者物件上現有的未使用屬性。如果您沒有專門建立的屬性來儲存您想要儲存的數據,則首選擴充架構。看http://msdn.microsoft.com/en-us/library/windows/desktop/ms676929(v=vs.85).aspx
請注意,僅使用專門為此目的定義的現有屬性。如果您重複使用目前未使用但後來被認為對其他軟體必要的屬性,您可能會遇到困難。
然後按預期填充屬性。
然後,您可以使用自訂聲明規則,甚至可以在內建規則範本中使用來提取 LDAP 屬性並傳送聲明。如果未填入該屬性,則 LDAP 查詢將不會傳回資料。因此,特定的聲明不會被添加/發佈到管道中,也不會被發送。
從...開始http://blogs.technet.com/b/askds/archive/2011/10/07/ad-fs-2-0-claims-rule-language-primer.aspx閱讀索賠規則。您可以閱讀底部連結的後續內容以獲取更多語法詳細資訊。