active-directory - 将 LDAP 属性添加到第三方声明提供者信任声明

Question

1. 我在 ADFS 上配置了默认的 SAML 2.0 声明提供程序。我们称它为 DefaultProvider。它需要用户名和密码。
2. 我配置了两个使用 DefaultProvider 的 SAML 2.0 依赖方。我能够从 DefaultProvider 向这些依赖方断言 LDAP 属性并成功进行身份验证。
3. 我已导入第二个 SAML 2.0 声明提供程序。我们称之为Provider2。
4. 我可以使用 Provider2 的属性配置 Provider2 的 Claims Allowances 和 Provider2 的 Translation Rules。我能够从 Provider2 登录到我的两个依赖方并接收 Provider2 在断言中发送的属性。

对于第 4 项，是否可以使用来自 Provider2 断言的属性以及来自我本地 ADFS/AD 的本地 LDAP 属性来增强发送给两个依赖方的声明，并将这些属性添加到发送给两个依赖方的断言中?

Answer 1

这样做需要一个自定义规则来查询 AD。这篇文章解释了确切的过程：

https://docs.microsoft.com/en-us/archive/blogs/pinch-perfect/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider