Meu provedor de serviços emite um AuthRequest de SAML 2.0 com uma tag NameIDPolicy da seguinte forma:
<samlp:NameIDPolicy AllowCreate="true"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
Isso faz com que o ADFS 2.0 emita corretamente uma Resposta SAML contendo um token NameID criptografado criado por uma regra semelhante à encontrada aqui
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
MyeHAMeGLojBt7fcc2DQtntXXFka0kybkR42ZTitTUs=</NameID>
Até aí tudo bem, no entanto, meu Provedor de Serviços não parece entender a declaração de NameID criptografada e espera que ela não seja criptografada e, ao mesmo tempo, tenha o formato de nome como transient
De acordo com este documento , O ADFS2.0 trata a solicitação de formatos de ID de nome transitórios ou persistentes como cenários de privacidade (e, portanto, a criptografia)
Então minha pergunta seria: Existe alguma maneira de ter o ADFS 2.0 gerar a declaração NameID com o formato = transitório e um NameID não criptografado da seguinte forma:
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID>
Tivemos um cliente com um problema ao se conectar ao nosso aplicativo da web. Queríamos desativar a criptografia para ajudar a depurar o que estávamos recebendo. Estas são as etapas usadas para desabilitar a criptografia em seu servidor ADFS 2.0:
Em seguida, no prompt de comando do Windows PowerShell, digite o seguinte:
set-ADFSRelyingPartyTrust –TargetName “target” –EncryptClaims $False
A maneira como resolvi isso é assim:
UPN no tipo de declaração de saída: Name ID e escolha o formato transient nameid na lista suspensa 'Formato de ID de saída' Isso faz com que o AD envie o NameID no formato necessário:
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID>
(deixarei esta questão 'sem resposta' por um tempo, caso alguém tenha uma solução melhor.
Tags adfs