我们有一个声明感知应用程序,并使用 ADFS 服务器对来自我们合作伙伴网络的用户进行身份验证。拥有自己的 ADFS 服务器的客户没有问题。他们的 ADFS 服务器以 SAML 1.0 格式向我们发送令牌,一切都很好。我们有一个客户端向我们的 ADFS 服务器执行未经请求的 SAML 2.0 发布。信任关系有效,用户进入我们的系统,但没有任何索赔通过。我们得到的只是这个(来自我们的应用程序日志文件):
9/1/2015 7:35:44 PM: Claim type = http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod, value = urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
9/1/2015 7:35:44 PM: Claim type = http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant, value = 2015-09-01T23:35:40.194Z
比较 SAML 令牌,格式完全不同。例如,在 SAML 1 中有一个自定义声明,如下所示:
<saml:Attribute xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims" AttributeName="customerguid" AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims" a:OriginalIssuer="http://Absolut.vis-intel.net/adfs/services/trust">
<saml:AttributeValue>8835cf46-07a6-45f7-82d9-978905b5911f</saml:AttributeValue>
</saml:Attribute>
但他们的进来是这样的:
<saml2:Attribute Name="CustomerGuid">
<saml2:AttributeValue>b4f3dd70-ef42-4596-be76-3e3fa077d06e</saml2:AttributeValue>
</saml2:Attribute>
我们正在考虑也许我们需要对声明规则做一些事情。它们看起来与此类似:
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/customerguid"]
=> issue(claim = c);
我们添加了自定义声明类型并尝试更改声明规则以使用它们来尝试获取 CustomerGuid 但这没有任何区别:
c:[Type == "CustomerGuid"] => issue(claim = c);
寻找有关如何使这项工作的任何指示。