无效的NameID策略与ADFS配合使用

Question

无效的NameID策略与ADFS配合使用

13

我有很多客户使用单点登录（SSO），为此我们使用SAML 2。我的许多客户使用像Okta、PingIdentity和一堆ADFS这样的供应商。与ADFS集成时，总是在开始阶段出现错误，当它们带着SAMLResponse返回时。

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status>

我希望使用以下内容作为名称标识符：

"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"

我对SAML非常陌生，只是想了解在ADFS上发生了什么，因为只有使用该服务的客户端才会出现此问题。

非常感谢。

- wcpaez

2个回答

3

另一种方法是确定需要映射到NameID的属性，例如电子邮件地址。

对于电子邮件，请设置普通LDAP规则。

然后设置一个转换规则，将电子邮件转换为NameID，并从下拉菜单中选择所需的NameID格式。

- rbrayb

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Sam · Accepted Answer

默认情况下，ADFS发送的NameId格式为"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"。您可以进行调整。参见：https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx。