Могу ли я добавить какой-либо атрибут локального Active Directory в ID Token в ADFS? - PullRequest
0 голосов
/ 13 февраля 2019

У меня ADFS 4.0 на Windows Server 2016. Я нашел следующий URL-адрес, описывающий настройку идентификатора токена, получаемого из ADFS.

https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-fs/development/customize-id-token-ad-fs-2016

В соответствии с приведенным выше URL, я думаю,что я могу настроить идентификатор токена для добавления новых утверждений, извлеченных из любых атрибутов локального Active Directory, в идентификатор токена. Например, я предполагаю, что могу сгенерировать следующий идентификатор токена, определив язык правил утверждений ADFS.

{"aud": "XXXX", "iss": "https://[ADFS FQDN] / adfs", "iat": 1533099776, "exp": 1533103376, "auth_time": 1533099776, "nonce": "hoge"," sub ":" XXXXXX "," upn ":" user01@exapmle.com "," unique_name ":" DEV \ user01 "," Division ":" ABC Department "}

Атрибут"Разделение в идентификаторе токена, как описано выше, извлекается из атрибута «разделение» в локальном Active Directory и добавляется в идентификатор токена.

Мое предположение верно?

1 Ответ

0 голосов
/ 14 февраля 2019

Да.

В мастере правил утверждений выпадающие записи для правил LDAP фактически доступны для редактирования, поэтому вы можете сделать это и так.

Обратите внимание, что если содержимое этого атрибутапусты, вы не получите претензию.

...