ADFSで動作するInvalidNameIDPolicy
SSOを使用するクライアントがたくさんあります。そのためにSAML2を使用しています。私のクライアントの多くは、Okta、PingIdentity、およびそれらの多くのADFSなどのプロバイダーを使用しています。 ADFSとの統合を常に最初に実行すると、SAMLResponseで戻ってきたときにこのエラーが発生します。
<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status>
名前識別子として使用するように求めていますこれ:
"urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
私はSAMLにかなり慣れていません。これは、ADFSを使用するクライアントで発生しているため、ADFSで何が発生しているのかを知りたいだけです。
どうもありがとう。
これを行うもう1つの方法は、NameIDにマップする必要のある属性を特定することです。電子メールアドレス。
電子メールには通常のLDAPルールがあります。
次に、電子メールをNameIDに変換する変換ルールを用意し、ドロップダウンから必要なNameID形式を選択します。
デフォルトでは、ADFSはNameId形式を「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」として送信します。あなたはそれを調整することができます。参照: https://social.technet.Microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format- from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx