Вопрос
Можно ли сконфигурировать гем OneLogin Ruby для возврата нескольких форматов идентификаторов имен в наших приложениях saml метаданные xml?
Контекст:
Мы являемся поставщиком услуг, который использует гем Onelogin Ruby для SAML SSO, и у нас есть клиент, который интегрирует их ADFS 2.0 с нашим приложением. Мы успешно это настроили, и многие другие клиенты используют ADFS, однако у этого одного клиента возникают проблемы из-за того, что он связан с конфигурациями формата nameID.
Когда пользователь получает URL-адрес ACS на нашем На сервере мы видим ошибку: "The status code of the Response was not Success, was Requester => InvalidNameIDPolicy"
. В журнале событий ADFS клиента мы видим "Actual NameID properties: null."
Мы трижды проверили, что утверждения в доверии клиента-ретранслятора соответствуют утверждению атрибута AD EmailAddress, сопоставленному с исходящим утверждением Email Адрес, а затем дополнительная заявка на преобразование адреса электронной почты в исходящую заявку на имя NameID с форматом электронной почты.
Эта конфигурация согласуется с предыдущими клиентами, у которых не было проблем, а также с доверительными отношениями других ретрансляторов клиента, которые успешно настроен с другими поставщиками услуг.
Мы просмотрели метаданные других поставщиков услуг xml и заметили, что они возвращают несколько форматов идентификаторов имен. Например, у них есть единый вход с Zoom, а в метаданных Zoom xml показаны форматы имен для: emailAddress, transient, persistent, unspecified и X509SubjectName.
Мой вопрос: можно ли настроить гем OneLogin Ruby для возврата несколько форматов идентификаторов имен в наших приложениях saml метаданные xml? Похоже, что нет документации об этом через камень: https://github.com/onelogin/ruby-saml