Eu tenho um provedor de declarações do AD FS configurado e um SP do Shibboleth autenticando-se com êxito contra ele.
Eu estou tentando ter os atributos do Active Directory enviados para o SP.
Eu segui este artigo para tentar enviar as reivindicações:
link
A seção relevante é Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party
- > Configure AD FS 2.0
- > Edit Claim Rules for Relying Party Trust
- > To configure eduPerson claims for sending to a relying party trust
:
Na etapa 16, ele afirma que devo colar ou digitar o seguinte (e ele está em dois blocos de código):
c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "Domain Users"]
e
=> issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.9", Value = "[email protected]", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
Acredito que foi uma declaração única (por favor, corrija-me se estiver errado), pelo que a minha entrada é a seguinte:
EstoutestandocomogivenName,entãoadicioneioseguinte:
Na máquina do Shibboleth SP, editei o attribute-map.xml
adicionando o seguinte e reiniciei o serviço Shibboleth:
<Attribute name="urn:mace:dir:attribute-def:GivenName" id="GivenName"/>
Quando naveguei para o site e fui autenticado novamente com o AD FS, não estou vendo a exibição dada. Eu tenho um arquivo de índice que gera todos os cabeçalhos e seus valores.
Edit: Solução para o meu problema
Eu tenho o UPN para enviar como o epPN. As regras acima (as regras do artigo) funcionaram, mas eu tive que editar o attribute-policy.xml
no Shibboleth SP para desabilitar as regras de escopo, já que eu não tinha essa parte configurada corretamente.
Comentei as seguintes linhas no attribute-policy.xml
afp:AttributeRule attributeID="eppn">
<afp:PermitValueRuleReference ref="ScopingRules"/>
</afp:AttributeRule>