在ADFS2.0中不加密地发送NameID声明

Question

我的服务提供商发布了一个SAML2.0 AuthRequest，其NameIDPolicy标记如下所示：

<samlp:NameIDPolicy AllowCreate="true" 
       Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>

这导致ADFS2.0正确地发出SAML响应，其中包含由类似于找到的NameID的规则创建的加密这里令牌

<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">    
        MyeHAMeGLojBt7fcc2DQtntXXFka0kybkR42ZTitTUs=</NameID>

但是，到目前为止，我的服务提供商似乎还没有理解加密的NameID声明，并且期望它在同时具有transient的名称格式的同时也是未加密的。

根据本文件，ADFS2.0将对瞬态或持久NameID格式的请求视为隐私方案(因此也是加密)。

因此，我的问题是:是否有任何方法让ADFS2.0用Format=transient和未加密的NameID生成Format=transient声明：

<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID> 

Answer 1

我们有一个客户有一个问题连接到我们的web应用程序。我们希望禁用加密以帮助调试接收到的内容。这些步骤用于在ADFS2.0服务器上禁用加密：

• 单击“开始”
• 单击管理工具
• 单击Windows PowerShell模块
• 然后，在Windows PowerShell命令提示符下键入以下内容：“-EncryptClaims $False”目标

Answer 2

我解决这个问题的方式是这样的：

1. 创建一个从AD提取UPN的规则
2. 创建一个转换规则，将传入的请求类型：UPN转换为传出请求类型：Name ID，并从“传出名称ID格式”下拉菜单中选择transient nameid格式。

这导致AD以所需的格式发送NameID：

<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">Joe</NameID>

(我将暂时不回答这个问题，以防有人有更好的解决办法。

Answer 3

1 get-ADFSRelyingPartyTrust -TargetName“target”-EncryptedNameIdRequired(这将告诉您，如果ADFS加密了nameID声明)

如果EncryptedNameIdRequired=为false，请尝试：

设置-ADFSRelyingPartyTrust-TargetName“-EncryptedNameIdRequired $true”(这将使值EncryptedNameIdRequired=变为true)

我在我的实验室里试过了，但是转换值不会产生任何影响。在我的例子中，formato不是Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>.我不知道这会不会影响证据。