ADFS ne passe pas NameID

Ici est le moyen d'authentification est configuré.
- Le Navigateur Client envoie la demande (URL ci-dessous) pour le client du serveur ADFS,
- Client ADFS ensuite, regardez le imbriquée relais de l'état et de transmettre la demande à notre serveur ADFS.
- Notre ADFS look à la demande et envoyer la demande à notre APPLICATION.

URL est ici.

https://clientadfs.clientdomain.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%3A%2F%2ouradfs.ourdomain.com%2Fadfs%2Fls%2F%26RelayState%3DRPID%3Dhttps%3A%2F%2ourapp.ourdomain.com%2Fvaruna%2Fconsole%2Fsso.aspx%3FsamISso%26lang%3Den_CA

La demande produit une page blanche sans erreur sur le serveur ADFS.

J'ai eu le violoneux trace le client. Le Client utilise les services utilisateurs de l'adresse e-mail afin d'identifier les utilisateurs. Je peux voir dans le jeton SAML envoyé à ses Clients de l'ADF a cette adresse e-mail.
Ce jeton SAML va à notre serveur ADFS et je vois la réponse SAML qui sortent de notre serveur ADFS. Cela n'a pourtant pas l'adresse email de l'utilisateur. Je pense que c'est le problème.

Sur notre serveur ADFS, j'ai cette réclamation du Client (sur les Revendications Fournisseur de Confiance) afin de gérer les ID d'utilisateur (qui est leur e-mail):

Règle de réclamation nom: e-Mail
Entrant type de Revendication: Nom ID
Nom entrant l'ID format: Email
Sortant de Nom ID format: Email
Passer à travers toutes les valeurs de demande.

Ici est la revendication la Revendication de la Règle de la Langue

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"]
 => issue(Type = "Email", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

D'un client ADFS config, c'est leur e-mail/nom d'utilisateur de configuration:

IssuanceTransformRules               : @RuleTemplate = "LdapClaims"
                                       @RuleName = "Pass email"
                                       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccou
                                       ntname", Issuer == "AD AUTHORITY"]
                                        => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/20
                                       05/05/identity/claims/nameidentifier"), query = ";mail;{0}", param = c.Value);

Je n'ai aucune idée de ce que je fais de mal. Quelqu'un peut tache de mon problème? ou pouvez-vous suggérer où je devrais regarder?

Merci pour votre aide!

  • RM

OriginalL'auteur user3618129 | 2015-05-27

  1. 4

    "pour gérer les ID d'utilisateur (qui est leur e-mail)"

    Est donc l'assertion SAML une affirmation pour un type d'e-mail ou pour un type de nom d'utilisateur? autrement dit, quelle est l'affirmation nom de cet attribut.

    Sur le ADFS côté. pour transformer un mail de réclamation, il s'attend à un type de "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

    Mise à jour

    Vous avez besoin pour transformer NameId à l'email. NameId a aussi un "Entrant le nom de l'ID de format" qui je suppose est "e-mail". Vous devez vérifier dans le SAML métadonnées.

    Afin que votre demande règle devrait ressembler à:

    c:[Type ==
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    Propriétés["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
    == "urn:oasis:names:tc:SAML:1.1:nameid-format:e-mail"] => problème(Type =
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
    Émetteur = c.De l'émetteur, OriginalIssuer = c.OriginalIssuer, Valeur = c.Valeur,
    ValueType = c.ValueType);

    Mise à jour de 1

    ADFS prend en charge:

    <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>

    de sorte que le format peut être emailAddress, persistant ou transitoire.

    Essayer de le Transformer règle avec les trois formats et de voir.

    Aussi, quelles demandes est votre demande? Vous pouvez les exporter via Comment: Accéder à des Revendications ASP.NET Page.

    Client envoyé leurs ADFS config. voici leur email de demande de config. J'ai édité le post original ci-dessus
    Ok. Merci. J'ai pensé que c'est la façon dont je l'ai fait. La transformation du Nom de l'ID d'e-Mail. Utilisé une "Transformer la réception d'une règle de réclamation". Entrant type de Revendication: Nom ID Nom Entrant l'ID format: e-Mail Sortant Nom ID format: e-Mail Passer à travers toutes les valeurs de demande.
    Mais je vois que vous avez un autre "Type" dans la réponse. Je ne suis pas en mesure de le faire à l'aide de "Transformer un imcoming règle de réclamation. Dois-je utiliser une règle personnalisée?
    Pouvez-vous coller votre demande effective de la règle? Pas sûr le "Type" est différent. Aussi avez-vous qui NameID le format est dans la SAML métadonnées?
    Demande sur mon ADFS pour ce client est ajouté dans le post original maintenant, les Demandes de la langue. J'ai essayé de changer à la vôtre à l'aide d'une règle personnalisée. il n'a pas de travail. il produit le vide de la page à nouveau

    OriginalL'auteur nzpcmad