Les revendications de ne pas être transmises à un partenaire de confiance dans ADFS 2.0
OK, donc je suis assez nouveau dans le monde entier des revendications applications. J'ai été en mesure d'obtenir en place et fonctionne très rapidement à l'aide d'Azur ACS, mais ça a été un peu différent lorsque vous essayez d'utiliser ADFS 2.0 en tant que fournisseur d'identité (en fait je veux l'utiliser comme un fédéré fournisseur, mais pour le moment je suis juste essayer d'obtenir un échantillon en cours d'exécution en l'utilisant comme un fournisseur d'identité).
J'ai été à la recherche à les guides ici et ont essayé de suivre le de Fédération AD FS 2.0 avec un WIF Application étape par Étape Guide de guide qui y sont énumérés. Il vous emmène à travers la mise en place d'ADFS 2.0 avec un peu de revendications exemple d'application que vous pouvez utiliser pour afficher les revendications qui sont envoyés à travers.
Donc je peux le faire et en cours d'exécution, en passant par les revendications définies dans le guide (juste le nom du compte windows). Le problème est que lorsque j'essaie d'ajouter plus. Je peux aller à la partie utilisatrice de l'application dans le ADFS GUI et ajoutez une Émission de Transformer la Règle, à l'aide de la de Passer ou Filtrer les Réclamer règle modèle. Cependant, lorsque je lance mon application, à moins que l'ajout de type de revendication est Nom, il ne passera pas la demande grâce à mon application.
L'un de ceux que j'ai voulu passé par a l'adresse électronique de l'utilisateur qui s'est connecté à l'application. J'ai donc ajouté une règle pour passer à travers l'adresse e-mail, puis mis à jour sur le web.config de l'exemple d'application de décommenter cette ligne sous la claimTypeRequired section:
<claimType type="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" optional="false" />
Remarque que je suis le définir comme non-facultative. J'ai aussi mis à jour la fédération des métadonnées de l'application à ajouter à la suite:
<auth:ClaimType Uri="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" Optional="false" xmlns:auth="http://docs.oasis-open.org/wsfed/authorization/200706" />
Ensuite, je suis allé dans le ADFS GUI, est allé à la Partie de confiance Fiducies et sélectionné mise à Jour à partir de Fédération de Métadonnées sur mon exemple d'application. De sorte qu'il affiche maintenant l'e-mail comme l'un des les réclamations acceptées.
Ensuite, je suis allé dans le Fournisseur de Revendications Fiducies et a ajouté l'e-mail de réclamation de la règle dans l'Acceptation de Transformer les Règles de l'Active Directory fournisseur de confiance (le seul de la liste).
Quand je lance l'application, cependant, il n'est pas en passant par l'e-mail de réclamation (ou tout autres que j'essaie). Quelqu'un peut-il me dire ce que je suis en manque ici?
Je tiens également à noter, j'ai couru un test à modifier mon application à seulement accepter l'e-mail de réclamation à la règle, et non seulement il ne s'est pas passer par le mail, mais c'est toujours en passant par le Nom de Compte Windows et la Nom revendications, malgré le fait que je n'ai même pas de liste comme les réclamations acceptées pour mon application.
Si quelqu'un pouvait indiquer où je vais radicalement faux ici, il serait grandement apprécié.
Après activation de la journalisation par le blog avant, voici les entrées du journal:
ID d'événement 1000, "l'Entrée des revendications de l'appel principal inclus dans les détails":
De sorte que vous pouvez le voir, les informations que je vais demander est assez clairement absent. J'ai la sortie de journalisation détaillée, mais il n'y a vraiment rien de tout autre intérêt. Vous verrez des registres de suivi pour le SERVICE de RÉSEAU de l'utilisateur (avec le même ensemble de revendications), mais rien de frappant. Toutes les entrées de journal sont données à titre indicatif, il n'y a pas d'erreurs.
- AD FS 2.0 (qui lui-même est basé sur WIF) a plusieurs journaux et options de trace; voir blog "Diagnostics dans les services AD FS 2.0" pour plus de détails.
- Merci de Marnix, j'ai maintenant passé sur l'enregistrement des commentaires, et je vais modifier ma Question pour fournir la sortie d'enregistrement.
- Avez-vous jamais résoudre ce problème? Je suis en cours d'exécution dans un cas similaire où mon LDAP revendications sont ne pas venir du tout.
Vous devez vous connecter pour publier un commentaire.
Si vous utiliser ADFS en tant que Fournisseur d'Identité et souhaitez émettre un mail de réclamation, alors vous devez utiliser Envoyer des Attributs LDAP que les Revendications ou un Personnalisé Règle de Réclamation accès qui ANNONCE que le magasin d'attributs et enjeux de l'e-mail de réclamation. Passer à travers est utilisé sur les revendications entrantes, en supposant que l'utilisateur est déjà authentifié quelque part. Dans le cas de l'Authentification Windows nom de compte Windows est émise à partir du jeton Kerberos et c'est pourquoi vous devez passer à travers, mais les autres vous question.
N'Active Directory question de l'E-Mail de réclamation? Je ne suis pas sûr de la façon de le vérifier, mais si elle ne le fait pas, il est sans importance que vous êtes passer à travers. Dans ce cas, vous aurez envie d'essayer une "Envoyer des Attributs LDAP que les Revendications de la règle"; d'après ce que je vois dans mon ADFS exemple, essayez de la cartographie de la "E-Mail Adresses" attribut à un "E-Mail" réclamation.
J'ai dû faire quelque chose de similaire pour obtenir de l'UPN réclamations à venir, dans des circonstances similaires à la vôtre. Je ne suis pas sûr qu'il importe que l'attribut LDAP est potentiellement pluriel.