发送objectGUID作为ADFS2.0声明

Question

我想将objectGUID作为一个声明，在Windows 2012上运行ADFS2.0。

我知道我可以为依赖方信任创建发行转换规则，但是ADFS2.0如何了解objectGUID呢？我是否需要在AD \Service\ claim下为objectGUID添加一个索赔描述？

Answer 1

objectGuid LDAP属性可以作为任何声明的值发送，方法是使用"Send属性作为索赔规则“并指定objectGuid作为源属性。ADFS对LDAP属性没有具体的了解，如果要扩展LDAP模式，您可以像其他任何方法一样轻松地使用这些属性。您必须将其转换为特定的声明是由依赖方授权的。

如果您只是将其用作用户的唯一ID，则可以将其作为http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier (Private Personal Identifier)发送，但也可以将其发送到特定于特定RP的声明中(当您需要添加声明描述时)。

Answer 2

请参考ADFS : objectGUID作为索赔。

问题不在于访问它，而在于它将其“转换”为与AD中的原始条目不匹配的东西。