ฉันได้กำหนดค่า Claims Provider Trust ใน ADFS และฉันได้รับเท่านั้น อีเมล ใน รหัสชื่อ. ฉันไม่สามารถเปลี่ยนแปลง Third Party Claims Provider Trust ได้ ดังนั้นฉันจึงต้องได้รับ WindowsAccountName โดยใช้ที่อยู่อีเมลซึ่งฉันได้รับใน NameID จาก Third Party IDP และส่งต่อไปยัง Outlook Web Access (ภายในองค์กร)
ฉันพบว่าเมื่อฉันใช้กฎการอ้างสิทธิ์ต่อไปนี้ การลงชื่อเข้าใช้จะทำงานได้ก็ต่อเมื่อ UPN และที่อยู่อีเมลของผู้ใช้ตรงกันเท่านั้น หากมีความแตกต่างระหว่างกัน (เช่น sAMAccountName=jdoe; [email protected]; Email=Jonathan.Doe@contoso.com) ค่าที่ส่งต่อไปยัง Exchange ทำให้เกิดข้อผิดพลาด
c:[ประเภท == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", คุณสมบัติ["http://schemas.xmlsoap.org/ws/2005/05/identity /claimproperties/format"] == "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"]
=> ปัญหา (ประเภท = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer = "AD AUTHORITY", OriginalIssuer = c.OriginalIssuer, Value = regexreplace(c.Value , "(?<user>[^\@]+)\@(.+)", "contoso\${user}"), ValueType = c.ValueType);
ฉันจะค้นหาผู้ใช้ผ่านที่อยู่อีเมลและส่งคืนผู้ใช้ได้อย่างไรWindowsAccountName ใน โดเมน\ชื่อผู้ใช้ รูปแบบ?
ถ้าใครเจอปัญหานี้ คุณต้องมีกฎสองข้อ
กฎ #1: sAMAccountName เป็น temp ซึ่งจะบอกให้ ADFS ค้นหาใน ActiveDirectory และส่งคืนบัญชีใดๆ ที่ตรงกับ UPN หรือที่อยู่อีเมล จากนั้นกฎจะเก็บค่าไว้ในตัวแปรชั่วคราวซึ่งเราจะใช้ในกฎถัดไป
c:[ประเภท == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", คุณสมบัติ["http://schemas.xmlsoap.org/ws/2005/05/identity /claimproperties/format"] == "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"]
=> ปัญหา (ร้านค้า = "Active Directory", ประเภท = ("การอ้างสิทธิ์:temp/attribute1"), ข้อความค้นหา = "(&(objectCategory=person)(objectClass=user)(|(userPrincipalName={0})(mail= {0})));sAMAccountName;contoso\adfs_service_account", param = c.Value);
หมายเหตุ เดอะ contoso\adfs_service_account เป็นสิ่งสำคัญ ADFS ต้องการสิ่งนี้เพื่อค้นหาตัวควบคุมโดเมนโดยอัตโนมัติ ใช้บัญชี AD ใดก็ได้ ตราบใดที่เป็นบัญชีจริง
กฎ #2: ชั่วคราวเป็น WindowsAccountName กฎข้างต้นส่งคืนเฉพาะ sAMAccountName ไม่ใช่โดเมน ในกรณีของฉัน ฉันมีเพียงโดเมนเดียว ดังนั้นฉันจึงฮาร์ดโค้ดไว้ด้านล่าง
c:[ประเภท == "การอ้างสิทธิ์:temp/attribute1"] => ปัญหา (ประเภท = "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", ผู้ออก = "หน่วยงานโฆษณา" , OriginalIssuer = "https://contoso.verify.ibm.com/saml/sps/saml20ip/saml20", ค่า = "contoso\" + c.Value);
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
