【发布时间】:2017-10-07 15:57:10
【问题描述】:
我正在尝试将 ADFS 配置为 OpenID 提供程序,作为多个应用程序堆栈的通用身份验证系统(我的目标是定义可在多个堆栈上使用的解决方案)。
经过多次测试,我们达到了能够对用户进行身份验证并检索 id_token 的水平。
现在,问题在于我们在默认 id 令牌中收到的声明不包括我们认为“标准”的一些声明,例如电子邮件声明。
我们目前将我们的企业 Active Directory 用作 Claim Provider Trust。
我们收到的声明列表是本文限制部分中声明为默认声明的一部分:
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/adfs
提供的声明是:
aud、authenticationinstant、c_hash、exp、iat、iss、name、nameidentifier、nonce、upn、pwd_exp
在我们的例子中,upn 字段与 email 属性匹配,因此我们有一种解决方法。
无论如何,我的目标是能够将电子邮件声明作为 id 令牌的一部分发送,以便将我们的解决方案与当前正在使用的其他 OP 标准化,并且不强制应用程序更改其代码库。
如何配置 ADFS 以通过 id 令牌发送附加声明?
【问题讨论】:
标签: adfs openid-connect