Enviando atributos do AD como declarações do AD FS para atributos do SP do Shibboleth

2

Eu tenho um provedor de declarações do AD FS configurado e um SP do Shibboleth autenticando-se com êxito contra ele.

Eu estou tentando ter os atributos do Active Directory enviados para o SP.

Eu segui este artigo para tentar enviar as reivindicações: link

A seção relevante é Step 2: Configure AD FS 2.0 as the Identity Provider and Shibboleth as the Relying Party - > Configure AD FS 2.0 - > Edit Claim Rules for Relying Party Trust - > To configure eduPerson claims for sending to a relying party trust :

Na etapa 16, ele afirma que devo colar ou digitar o seguinte (e ele está em dois blocos de código):

c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "Domain Users"]

e

=> issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.9", Value = "[email protected]", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");

Acredito que foi uma declaração única (por favor, corrija-me se estiver errado), pelo que a minha entrada é a seguinte:

EstoutestandocomogivenName,entãoadicioneioseguinte:

Na máquina do Shibboleth SP, editei o attribute-map.xml adicionando o seguinte e reiniciei o serviço Shibboleth:

<Attribute name="urn:mace:dir:attribute-def:GivenName" id="GivenName"/>

Quando naveguei para o site e fui autenticado novamente com o AD FS, não estou vendo a exibição dada. Eu tenho um arquivo de índice que gera todos os cabeçalhos e seus valores.

Edit: Solução para o meu problema

Eu tenho o UPN para enviar como o epPN. As regras acima (as regras do artigo) funcionaram, mas eu tive que editar o attribute-policy.xml no Shibboleth SP para desabilitar as regras de escopo, já que eu não tinha essa parte configurada corretamente.

Comentei as seguintes linhas no attribute-policy.xml

afp:AttributeRule attributeID="eppn">
    <afp:PermitValueRuleReference ref="ScopingRules"/>
</afp:AttributeRule>
    
por OrangeGrover 19.06.2015 / 01:25

1 resposta

2

Sim, a regra de reivindicações (exibida em duas linhas) é uma "declaração". Termina com o ';'. Ou seja você adiciona as duas linhas à mesma regra personalizada.

Para cada Reivindicação emitida (send) (Atributo) com um identificador de objeto uri, você precisa adicionar uma regra personalizada (abaixo da regra de pesquisa do AD). Ou seja, se você quiser o "urn: oasis: names: tc: SAML: 2.0: nomedamostrodome: uri". Se você quer apenas o uri, então definir o clam em "Claim Descriptions" é suficiente.

Normalmente eu uso uma pequena variação no programa. Eu escrevo a regra de pesquisa com a interface do usuário, mas depois copio a regra (de "View Rule Language") para uma regra personalizada. Na regra personalizada copiada, mudo "issue" para "add". Em seguida, excluo a regra de pesquisa original. Isso evita enviar as declarações de URL e URN para o Shib.

    
por 19.06.2015 / 14:37