ADFS 上的 OpenID 连接
OpenID Connect over ADFS
我正在尝试将 ADFS 配置为 OpenID 提供程序作为多个应用程序堆栈的通用身份验证系统(我的 objective 是定义可在多个堆栈上使用的解决方案)。
经过多次测试,我们达到了能够验证用户身份并检索 id_token。
现在,问题在于我们在默认 ID 令牌中收到的声明不包括我们考虑过的一些声明 "standard" 例如电子邮件。
我们目前使用我们公司的 Active Directory 作为 Claim Provider Trust。
我们收到的索赔列表是本文限制部分中声明为默认的索赔的一部分:
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/adfs
提供的索赔是:
aud, authenticationinstant, c_hash, exp, iat, iss , name, nameidentifier, nonce, upn, pwd_exp
在我们的例子中,upn 字段与电子邮件属性相匹配,因此我们有一种解决方法。
我的 objective 无论如何都能够将电子邮件声明作为 id 令牌的一部分发送,以便将我们的解决方案与当前正在使用的其他 OP 标准化,并且不强制应用程序更改其代码基地.
我如何配置 ADFS 以通过 id 令牌发送附加声明?
那篇文章有点误导,因为 Azure AD 在混合中并且您有联合。
它还显示 "pwd_exp",默认情况下您不会得到。您必须启用它。
就您的问题而言,无法增加声明,因为没有可在其中输入声明规则的选项卡。
请参阅 Customizing Id_Token Claims with OpenId Connect in AD FS 2016 了解使用 "Web browser accessing a web application" 配置文件解决此问题的方法。
我正在尝试将 ADFS 配置为 OpenID 提供程序作为多个应用程序堆栈的通用身份验证系统(我的 objective 是定义可在多个堆栈上使用的解决方案)。
经过多次测试,我们达到了能够验证用户身份并检索 id_token。
现在,问题在于我们在默认 ID 令牌中收到的声明不包括我们考虑过的一些声明 "standard" 例如电子邮件。
我们目前使用我们公司的 Active Directory 作为 Claim Provider Trust。
我们收到的索赔列表是本文限制部分中声明为默认的索赔的一部分:
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/adfs
提供的索赔是:
aud, authenticationinstant, c_hash, exp, iat, iss , name, nameidentifier, nonce, upn, pwd_exp
在我们的例子中,upn 字段与电子邮件属性相匹配,因此我们有一种解决方法。
我的 objective 无论如何都能够将电子邮件声明作为 id 令牌的一部分发送,以便将我们的解决方案与当前正在使用的其他 OP 标准化,并且不强制应用程序更改其代码基地.
我如何配置 ADFS 以通过 id 令牌发送附加声明?
那篇文章有点误导,因为 Azure AD 在混合中并且您有联合。
它还显示 "pwd_exp",默认情况下您不会得到。您必须启用它。
就您的问题而言,无法增加声明,因为没有可在其中输入声明规则的选项卡。
请参阅 Customizing Id_Token Claims with OpenId Connect in AD FS 2016 了解使用 "Web browser accessing a web application" 配置文件解决此问题的方法。