java - 来自 ADFS 的 SAML 响应中的 UserPrincipalName (UPN)

Question

我正在使用 ADFS 实现 SP 发起的 SSO。我向 ADFS 提交 SAMLRequest，验证 SAMLRequest 后，ADFS 使用 SAMLResponse 进行响应。
在 ADFS 中，声明规则将 UPN 映射到名称 ID。但我无法在 SAMLResponse 中看到名称 ID 或 UPN。这是我必须在 SAMLRequest 中告诉 ADFS 的事情，还是 ADFS 的某些配置问题？

这是我的 SAMLRequest:

<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
    AssertionConsumerServiceURL="https://http://testurl.com/mysite/samlrequest"
    ForceAuthn="false" ID="_bec424fa5103428909a30ff1e31168327f79474984"
    IsPassive="false" IssueInstant="2015-04-22T11:49:03.815Z"
    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    Version="2.0">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://testurl.com/mysite</saml:Issuer>
    <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
    <samlp:RequestedAuthnContext Comparison="exact">
        <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
    </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

Answer 1

我不知道您的声明规则是什么样的，但我将电子邮件地址属性映射到 nameidentifier 并且它有效。这应该是 ADFS 中的自定义规则，应如下所示:

c:[Type == "<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" rel="noreferrer noopener nofollow">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn</a>"]
=> issue(Type = "<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier" rel="noreferrer noopener nofollow">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier</a>", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format" rel="noreferrer noopener nofollow">http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format</a>"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient", Properties["<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier" rel="noreferrer noopener nofollow">http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier</a>"] = "SP_ENTITY_ID");


如果您想将此作为属性发送，只需使用“发送 LDAP 属性作为声明”创建规则

我知道已经晚了，但希望这对某人有帮助。