【问题标题】:How is Input claims set initialised in ADFS如何在 ADFS 中初始化输入声明集
【发布时间】:2021-07-30 23:35:46
【问题描述】:

我对声明规则及其在 ADFS 中的处理方式有疑问。根据我在阅读 [this] (https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-the-claims-engine) 后的理解,声明规则执行分为三个部分 - 初始化(创建输入声明集并将输入声明放置在此处),声明规则中条件和规则的执行,以及向依赖方发出债权。我想了解的是,如果只有默认声明信任提供者,即 AD 并且用户登录尝试执行 IdP 发起的 SAML,那么在初始阶段,输入声明集是否填充了用户的所有属性广告?在执行过程开始之前,谁或什么决定了输入声明中将出现什么?

【问题讨论】:

    标签: saml adfs claims-based-identity claims-authentication


    【解决方案1】:

    在登录时,声明提供程序(在您的情况下为 AD)上的声明规则决定了管道中可用的内容。并非所有在 AD 中为用户填充的用户属性都会被读取。例如。如果移动设备被填充,它将不会被读取并映射到某些声明。 因此,在验证凭据后,声明中的 AcceptanceTransformRules

    登录后 IssuanceAuthorizationRules 用于决定是否发出声明。假设您以至少一个许可和零拒绝通过此阶段,那么您将进入依赖方的发布转换规则处理阶段。

    当在依赖方上定义的 issuetransformrules 被执行并且您选择发出使用 AD 属性(例如 mobile)的声明时,您可以选择使用 mobile 属性值发出类似 http://myorg.com/mobile 的声明。此时使用使用 AD 属性存储的 LDAP 查询。您还可以选择使用在登录时添加的传入声明作为此阶段的输入,以决定向管道添加/发布什么内容。

    处理完所有颁发转换规则后,根据您选择明确传递的内容,在声明提供者信任级别添加到管道的声明可能会或可能不会发送到依赖方。

    使用https://adfshelp.microsoft.com/ClaimsXray/TokenRequest 在 CP 和 RP 信任级别上玩不同的规则组合,以加深您的理解。

    【讨论】:

      猜你喜欢
      • 2017-09-24
      • 2016-11-05
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多