Para qualquer pessoa com o mesmo problema, basta usar as configurações da pergunta (elas foram editadas para refletir algumas alterações que fiz). Isso funcionará para adicionar um número de funcionário a uma declaração de saída no ADFS 3.0.
Por isso, estou tentando descobrir como mapear números de funcionários do diretório ativo como reivindicações em meu aplicativo de reconhecimento de declaração. Precisamos de algum tipo de valor-chave em nosso aplicativo para que as contas não fiquem órfãs quando as pessoas mudarem de nome (casamento etc.).
Qual é a maneira correta de mapear esses atributos como reivindicações? Abaixo eu fiz no que parece ser a maneira óbvia de fazê-lo, mas no login, estamos recebendo 'um erro ocorreu' e uma mensagem de erro totalmente inútil, que eu anexarei em o fundo.
Para qualquer pessoa com o mesmo problema, basta usar as configurações da pergunta (elas foram editadas para refletir algumas alterações que fiz). Isso funcionará para adicionar um número de funcionário a uma declaração de saída no ADFS 3.0.
1.Não há "EmployeeNo" embutido nessa reivindicação, a menos que você mesmo tenha criado a reivindicação personalizada. Pode encontrar todas as reivindicações suportadas no nó Descrições de Pedidos.
2.Quando você usa o "Enviar Atributos LDAP como Reclamações", certifique-se de que o atributo (Employee-Number no seu caso) tenha sido preenchido no AD porque, quando o mecanismo de regra de declaração for executado, ele procurará no banco de dados do AD valor do atributo.
3.UPN, endereço de e-mail, nome comum, pelo menos um desses três tipos de declaração de identidade deve estar presente para que um token seja emitido. Comumente usamos UPN como a identidade do usuário. Então você também pode adicionar UPN nas Regras de Transformação de Emissão.