InvalidNameIDPolicyはADFSと連携しています

Question

私はSAML 2を使用するためにSSOを使用するクライアントが多数あります。クライアントの多くはOkta、PingIdentityなどのプロバイダを使用しています。 ADFSとの統合を常に最初に行うと、SAMLResponseに戻ったときにこのエラーが発生します。

<samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester"><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/></samlp:StatusCode></samlp:Status> 

イムこの名前の識別子として使用することを求めて：

"壷：オアシス：名：TC：SAML：1.1：名前IDフォーマット：EMAILADDRESS"

SAMLにはかなり新しいイムと私ADFS上で何が起こっているのかを知りたいだけです。これは、これを使用するクライアントで起きているためです。

ありがとうございます。

Answer 1

デフォルトでは、ADFSはNameId形式を "urn：oasis：names：tc：SAML：1.1：nameid-format：unspecified"として送信します。あなたはそれを調整することができます。参照：https://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx

Answer 2

これを行うもう1つの方法は、NameIDにマップする必要がある属性を識別する方法です。電子メールアドレス。

電子メールの通常のLDAPルールがあります。

次に、電子メールをNameIDに変換し、必要なNameID形式をドロップダウンから選択する変換ルールを作成します。