ADFS 不向某些用户发出来自自定义属性存储的声明
ADFS not issuing claims from custom attribute stores to some users
我正在尝试弄清楚为什么我们的自定义属性存储没有向我们的一些用户发出声明。
我们用于身份验证的主要属性存储是 Active Directory,但我们使用两个自定义属性存储向用户发出多个自定义声明,并对发出的声明执行一些记录。当受影响的用户登录时,他们通过 AD 成功验证,但没有添加更多声明。根据我们属性存储中的日志记录,从未调用过 BeginExecuteQuery。
link受影响的用户我看不到任何东西,但他们似乎主要是新用户,或者很长时间没有登录系统的用户。重新启动 ADFS 有时可以解决问题,但是否解决似乎是随机的。
我试图理解为什么属性存储在某些用户登录时会被 ADFS 忽略,而其他用户可以正常工作。如果有一个快速保证的临时修复程序来正确发布用户的声明,那也会很有用!
出于安全原因,我无法访问 ADFS 调试跟踪。
通过向 Microsoft 的 AD FS 支持团队拨打一长串电话,最终解决了这个问题。问题可追溯到我们的声明规则语言的一部分,该语言使用了 lastLogon 和 lastLogonTimestamp AD 属性,但不了解它们的实际行为。这意味着对于某些用户而言,从未满足授予自定义声明的条件。
我正在尝试弄清楚为什么我们的自定义属性存储没有向我们的一些用户发出声明。
我们用于身份验证的主要属性存储是 Active Directory,但我们使用两个自定义属性存储向用户发出多个自定义声明,并对发出的声明执行一些记录。当受影响的用户登录时,他们通过 AD 成功验证,但没有添加更多声明。根据我们属性存储中的日志记录,从未调用过 BeginExecuteQuery。
link受影响的用户我看不到任何东西,但他们似乎主要是新用户,或者很长时间没有登录系统的用户。重新启动 ADFS 有时可以解决问题,但是否解决似乎是随机的。
我试图理解为什么属性存储在某些用户登录时会被 ADFS 忽略,而其他用户可以正常工作。如果有一个快速保证的临时修复程序来正确发布用户的声明,那也会很有用!
出于安全原因,我无法访问 ADFS 调试跟踪。
通过向 Microsoft 的 AD FS 支持团队拨打一长串电话,最终解决了这个问题。问题可追溯到我们的声明规则语言的一部分,该语言使用了 lastLogon 和 lastLogonTimestamp AD 属性,但不了解它们的实际行为。这意味着对于某些用户而言,从未满足授予自定义声明的条件。