我在FoxID上连接了一个AD FS作为SAML 2.0的上行方,我的应用程序连接了OpenID Connect作为下行方。
我的申请中没有收到SUB索赔,可能是什么问题?
FoxID在SAML 2.0和JWT声明之间转换。其中sub声明是从SAML 2.0NameID属性/声明转换而来的。NameID权利要求具有权利要求类型http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier。
您需要更新AD FS配置,才能同时发布NameID声明。这导致具有NameID索赔值的sub索赔。
或者,如果AD FS发布UPN(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn(声明,您可以在FoxID中定义声明转换,将UPN(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn(声明映射到NameID(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier(声明。这将导致具有UPN索赔值的sub索赔。
要进行调试,可以临时添加一个具有常数值的NameID(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier(声明,从而生成一个子声明。