【发布时间】:2021-04-09 07:49:59
【问题描述】:
我已将 AD FS 作为 SAML 2.0 上方连接到 FoxID 上,并且我的应用程序与 OpenID Connect 连接为下方。
我的申请中没有收到 SUB 索赔,可能是什么问题?
【问题讨论】:
标签: openid-connect saml-2.0 adfs foxids
【发布时间】:2021-04-09 07:49:59
【问题描述】:
FoxID 在 SAML 2.0 和 JWT 声明之间转换。 sub 声明是从 SAML 2.0 NameID 属性/声明转换而来的。 NameID 声明的声明类型为 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier。
您需要更新 AD FS 配置才能发出 NameID 声明。这会导致 sub 声明与 NameID 声明值。
或者,如果 AD FS 例如正在发出 UPN (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn) 声明,您可以在 FoxID 中定义声明转换,将 UPN (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn) 声明映射到 NameID (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier) 声明。这会产生一个 sub 声明,其声明值为 UPN。
要进行调试,您可以临时添加具有常量值的 NameID (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier) 声明,这会导致子声明。
【讨论】: