联合环境中的 ADFS 声明配置

Question

我正在尝试使用 ADFS 身份验证，但我对应该在哪里进行配置有些疑问。

在我的公司方面，有一个配置了 Active Directory 的 ADFS。我能够使用 oauth 并对来自该 AD 的用户进行身份验证：我得到一个访问令牌和一个 id_token。

我还需要对另一家公司的用户进行身份验证，该公司也有 ADFS。所以，我相信两者之间有一个联盟。在我的 ADFS 方面，我们为该 ADFS 创建了声明提供者信任。我能够使用 oauth 获取访问令牌。但是，我无法获得 id_token。我也无法在访问令牌中获取一些用户信息（声明）。

我在 ADFS 方面尽我所能，更具体地说，我对 Claims Provider Trust 和 Application Group 中的所有索赔应用了 passthru。 Hoerver，我只能看到与用户信息无关的其他声明。

所以我的第一个问题是：因为用户在外部 ADFS 中进行了身份验证，所以这个 ADFS 是否有责任包含所需的声明？如果是，那么这就解释了为什么我自己的 ADFS 上的更改可能只会导致添加标准声明。

这是否也意味着 AnchorClaimType 应该添加到外部 ADFS 而不是我自己的？ （请参阅：ADFS + OpenID Connect email claim and external ADFS）因为我尝试了所有方法，但仍然遇到相同的错误。它只适用于我自己的 Active Directory。

谢谢！

Answer 1

我想通了：

在外部 ADFS（对用户进行身份验证的）配置中，有一个依赖方。这必须提供所需的声明。所以我们需要让外部 ADFS 的管理员来设置这个。我要求提供名称和 upn 声明。

在我的公司方面，它为外部 ADFS 创建了一个声明提供者信任，并为 oauth 身份验证创建了一个应用程序组。在这两个中我们都可以过滤声明，因此在两个所需的声明中都必须可用：name 和 upn。

通过这些声明（或仅其中一个声明或与用户信息相关的任何其他声明），用户信息将以令牌的形式提供。默认情况下，ADFS 不返回用户 ID 信息。

最后，关于 AnchorClaimType 声明，这必须在我的公司 ADFS 中设置。这必须指向名称或 upn 声明。配置此声明后，id_token 将可用。

问候