Criando declarações personalizadas do AD no ADFS v1.x

2

Me desculpe se essa é uma pergunta sem instrução, mas estou ficando um pouco desesperada aqui.

No trabalho, temos alguns clientes que ainda usam as versões do ADFS anteriores à 2.0, que foram a rota SAML2, e estou tentando criar suporte para o WebSSO usando essas versões como o provedor de identidade. Eu já tenho suporte para ADFS 2.0+, Shibboleth e Okta.

Estou testando em relação ao servidor de conta "adatum", já que estou seguindo as guia passo-a-passo para obter uma configuração de trabalho que eu possa testar.

Cheguei tão longe que consegui solicitar e receber as cargas úteis de RequestSecurityTokenResponse que o ADFS entrega em meu ponto de extremidade de login quando um usuário é autenticado, mas não consigo obter informações básicas, como e-mail e nome e sobrenome incluídos.

A única vez que consegui enviar algo em attributeStatement é quando mapeio um dos dois grupos "Trey * AppUsers" criados no guia.

Ativar as declarações de identidade E-mail ou Common Name também não adiciona nada.

Eu tentei

  • Crie um novo Organization Claim personalizado
  • Crie um Custom Claim Extraction do AD Account Store para ele
  • Defina para usar um atributo LDAP que deveria estar lá (tentei sAMAccountName , givenName e displayName )
  • Crie um novo Outgoing Custom Claim Mapping para ele no Resource Partner que criei para meu SP, mas ainda não recebo nada ...

Eu não sei por quê, e procurar por ajuda para essas versões do ADFS é extremamente difícil, agravada pelo fato de que eu não estou acostumado com o Windows, e eu definitivamente não sou um administrador de sistemas: D

Assumindo que esta é uma pergunta digna de ser respondida, alguém poderia me dar algumas dicas tendo em mente que eu sou (obviamente) bastante retardada nessa área?

Obrigado :)

Daniel

    
por DanielSmedegaardBuus 27.10.2015 / 14:18

1 resposta

0

Ok, isso é ridículo. Vendo guias como isso me deixou ainda mais perplexo, já que basicamente diz eu fazer exatamente o que eu já estou fazendo. Então, tentei criar um novo Parceiro de Recursos com exatamente a mesma configuração que o anterior, e eis que agora posso mapear as declarações do AD e elas fazem isso até o fim!

Não consigo ver que haja alguma diferença entre os dois RPs, exceto que um deles pode enviar declarações de origem AD e o outro não. Talvez minha brincadeira em torno de mexer com todos os tipos de configurações tenha de alguma forma quebrado.

Não removerei minha pergunta, pois acho que outra pessoa pode experimentar o mesmo e, se for o caso, posso dizer: tente criar uma cópia exata da configuração do parceiro de recursos que está falhando. pode funcionar!

    
por 27.10.2015 / 15:32