Como (adequadamente) mapear atributos do Active Directory para declarações de saída?

1

Por isso, estou tentando descobrir como mapear números de funcionários do diretório ativo como reivindicações em meu aplicativo de reconhecimento de declaração. Precisamos de algum tipo de valor-chave em nosso aplicativo para que as contas não fiquem órfãs quando as pessoas mudarem de nome (casamento etc.).

Qual é a maneira correta de mapear esses atributos como reivindicações? Abaixo eu fiz no que parece ser a maneira óbvia de fazê-lo, mas no login, estamos recebendo 'um erro ocorreu' e uma mensagem de erro totalmente inútil, que eu anexarei em o fundo.

    
por Scuba Steve 27.01.2017 / 23:47

2 respostas

0

Para qualquer pessoa com o mesmo problema, basta usar as configurações da pergunta (elas foram editadas para refletir algumas alterações que fiz). Isso funcionará para adicionar um número de funcionário a uma declaração de saída no ADFS 3.0.

    
por 31.01.2017 / 18:53
1

1.Não há "EmployeeNo" embutido nessa reivindicação, a menos que você mesmo tenha criado a reivindicação personalizada. Pode encontrar todas as reivindicações suportadas no nó Descrições de Pedidos.

2.Quando você usa o "Enviar Atributos LDAP como Reclamações", certifique-se de que o atributo (Employee-Number no seu caso) tenha sido preenchido no AD porque, quando o mecanismo de regra de declaração for executado, ele procurará no banco de dados do AD valor do atributo.

3.UPN, endereço de e-mail, nome comum, pelo menos um desses três tipos de declaração de identidade deve estar presente para que um token seja emitido. Comumente usamos UPN como a identidade do usuário. Então você também pode adicionar UPN nas Regras de Transformação de Emissão.

    
por 31.01.2017 / 12:03