在Windows 2012 R2上使用ADFS。 我已经创build了一个中继方信任,该中继信任具有一个声明规则,该规则定义了将活动目录属性映射到供应商系统中的命名属性。
当我查看federationmetadata.xml文件时,我注意到这些属性不存在,只有“索赔说明”中列出的项目存在。
这是正常的吗? 应用程序供应商系统显然使用PingFederate,他们期望这些属性出现在元数据文件中。
遵循Microsoft支持的build议,创build了包含我想包含的属性的声明描述项,然后将这些属性显示在元数据文件中。 应用发行转换允许我将值映射到这些属性。
这个是正常的。 元数据文件包含您所说的“声明描述”,以及ADFS场的端点,令牌签名的公钥和令牌解密证书; 有关您的部署的一般信息。 所有这一切,但不是你的依赖方configuration(这将是一个安全问题在我看来)。
您必须与应用程序供应商交换元数据文件。 那么你必须同意你的供应商: