我有很多使用SSO的客户端,因为我们使用SAML 2.我的许多客户使用Okta,PingIdentity和其中一些ADFS等提供商。始终在开始时与ADFS集成会在返回SAMLResponse时引发此错误。
<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status>
我要求使用名称标识符:
“瓮:绿洲:名称:TC:SAML:1.1:填充NameID格式:EmailAddress的”
我是SAML的新手,我只是想知道ADFS上发生了什么,因为这只是在使用它的客户端发生的。
非常感谢。
答案 0 :(得分:3)
另一种方法是识别需要映射到NameID的属性,例如电子邮件地址。
拥有正常的电子邮件LDAP规则。
然后有一个转换规则,将电子邮件转换为NameID,并从下拉列表中选择所需的NameID格式。
答案 1 :(得分:2)
默认情况下,ADFS将NameId格式发送为“urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified”。你可以调整它。请参阅:https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx