我一直遵循此处和此处的指导方针,但每当我执行OIDC身份验证请求时,ADFS登录页面都会显示索赔提供者列表。我不知道如何指定,对于这个应用程序,只有一个是相关的。Set-AdfsWebApiApplication似乎是答案,但我已经运行它将索赔提供程序映射到应用程序,但无济于事。
有什么我可能忽略的建议吗?
•如果您使用OIDC进行身份验证的web应用程序的索赔提供者是Active directory,那么您可以按照以下步骤将其添加为索赔提供者:-
- 在运行AD FS的服务器上,启动AD FS Management。
- 在导航窗格中展开信任关系,然后选择索赔提供者信任。
- 在Claims Provider Trusts下,右键单击Active Directory,然后选择Edit Claims Rules。
- 在规则编辑器中,选择Add Rule.
- 在索赔规则模板列表中选择"Send LDAP Attributes as Claims template",然后选择"Next"。
- 创建如下规则:a.索赔规则名称:UPN索赔规则(或其他描述性规则)b.添加如下映射:c.属性存储:Active Directoryd. LDAP属性:用户主体名称或任何其他您希望作为认证声明传递的属性e.外发索赔类型:UPN(根据ADSI的属性名称) 选择Finish,然后选择OK关闭规则编辑器。
•否则,如果您的索赔认证IdP提供者不是Active Directory,那么您也可以尝试通过ADFS管理控制台手动添加它,如下所示:-
- 展开信任关系节点,右键单击Claims provider Trust,选择add Claims provider Trust。
- 在欢迎屏幕上单击Start,然后在选择数据源工作区中,手动选择输入索赔提供者信任数据。
- 在"指定显示名称"框中输入值,然后单击"下一步"。
- 在"选择配置文件"对话框中选择ADFS配置文件。
- 在配置URL对话框中,选择"启用对WS-Federation被动协议的支持",并在URL对话框中输入将请求令牌的STS或web应用程序的URL。
- 在配置标识符框中,保留默认值,即您之前输入的web应用程序的URL。
- 然后在Configure Certificates选项中,选择在服务器中配置ADFS时使用的证书,即用于签名的SSL证书。
- 在"完成"窗口中,保持选中复选框并单击"关闭"。
•一旦完成上述步骤,索赔转换对话框窗格将打开,您需要在其中配置需要通过身份验证的索赔转换规则和属性。此外,确保您正在为其配置ADFS IdP身份验证的web应用程序安装了来自受信任CA的SSL证书。
因此,通过这些方法,你也可以尝试为你的Web应用程序在ADFS中信任的依赖方添加一个特定的索赔提供者。
更多信息请参考以下链接:-
https://learn.microsoft.com/en-us/dynamics365/customerengagement/on-premises/deploy/configure-the-ad-fs-server-for-claims-based-authentication?view=op-9-1
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-claims-rules