來自多個索賠提供商的ADFS索賠

Question

我有一個ADFS環境，並在默認的Active Directory索賠提供程序旁邊配置了第二個Claim Provider。

HomeRealm發現「已禁用」，因爲我已將Web應用程序設置爲僅使用非AD索賠提供程序。

當前聲明規則的配置使得來自第二個Claim Provider的聲明包含在頒發給連接到我的Web應用程序的客戶端的Auth令牌中。

是否可以配置聲明規則，使來自Active Directory和第二個聲明提供程序的聲明數據包含在Auth令牌中？

例如：谷歌[郵件] +的ActiveDirectory [的samAccountName] =>身份驗證令牌

Answer 1

是的，這是可能的。關鍵點是如何將從第二個Claim Provider trust返回的「用戶」映射到AD用戶。通常，令牌必須包含可用於在AD中查詢相應用戶的聲明。以下鏈接顯示如何查詢來自AD的更多索賠以用於這種情況： https://blogs.msdn.microsoft.com/pinch-perfect/2015/09/14/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider/