【发布时间】:2019-03-07 08:07:48
【问题描述】:
我们有一个在 Windows 2016 上运行的 ADFS 服务器,它应该支持 OAuth2 和 openid-connect。我们正在尝试公开一个使用 openid-connect 但在声明“组”中期望组成员身份的 Web 应用程序。有一些指南可用于如何在 Azure AD 上实现这一点,但我们希望使用我们的本地 ADFS 服务器进行配置。到目前为止,我一直没有成功。
在 azure AD 中,必须编辑清单文件并添加/编辑值“groupMembershipClaims”,当设置为正确值时,它将在声明中发送组。
我已尝试为映射到此声明类型的“组”添加声明描述; http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 然后在该声明中返回“令牌组 - 不合格名称”,该声明未被接受。 我还尝试添加多个“发送组成员身份作为声明”规则,并将默认“组”声明作为传出声明类型。这也没有成功。
除了附加问题之外,是否有人知道如何解密 ADFS 服务器给出的响应,当我从 ADFS 服务器捕获响应 cookie 时,它是一个 MSISAuth 类型的 cookie,但我无法看到它的内容。它似乎不是 BASE64 编码。
有人知道如何实现吗?
【问题讨论】:
标签: openid-connect adfs