envia a declaração NameID sem criptografia no ADFS 2.0

4

Meu provedor de serviços emite um AuthRequest de SAML 2.0 com uma tag NameIDPolicy da seguinte forma:

<samlp:NameIDPolicy AllowCreate="true" 
       Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>

Isso faz com que o ADFS 2.0 emita corretamente uma Resposta SAML contendo um token NameID criptografado criado por uma regra semelhante à encontrada aqui

<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">    
        MyeHAMeGLojBt7fcc2DQtntXXFka0kybkR42ZTitTUs=</NameID>

Até aí tudo bem, no entanto, meu Provedor de Serviços não parece entender a declaração de NameID criptografada e espera que ela não seja criptografada e, ao mesmo tempo, tenha o formato de nome como transient

De acordo com este documento , O ADFS2.0 trata a solicitação de formatos de ID de nome transitórios ou persistentes como cenários de privacidade (e, portanto, a criptografia)

Então minha pergunta seria: Existe alguma maneira de ter o ADFS 2.0 gerar a declaração NameID com o formato = transitório e um NameID não criptografado da seguinte forma:

<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID> 
    
por Ryan Fernandes 21.09.2011 / 02:56

2 respostas

3

Tivemos um cliente com um problema ao se conectar ao nosso aplicativo da web. Queríamos desativar a criptografia para ajudar a depurar o que estávamos recebendo. Estas são as etapas usadas para desabilitar a criptografia em seu servidor ADFS 2.0:

  • Clique em Iniciar
  • Clique em Ferramentas administrativas
  • Clique nos módulos do Windows PowerShell
  • Em seguida, no prompt de comando do Windows PowerShell, digite o seguinte:

    set-ADFSRelyingPartyTrust –TargetName “target” –EncryptClaims $False
    
por 06.06.2012 / 17:08
2

A maneira como resolvi isso é assim:

  1. Crie uma regra que extraia o UPN do AD
  2. Crie uma regra de transformação que transforme o tipo de declaração de entrada: UPN no tipo de declaração de saída: Name ID e escolha o formato transient nameid na lista suspensa 'Formato de ID de saída'

Isso faz com que o AD envie o NameID no formato necessário:
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID>

(deixarei esta questão 'sem resposta' por um tempo, caso alguém tenha uma solução melhor.

    
por 21.09.2011 / 09:55

Tags