来自多个索赔提供商的ADFS索赔

Question

我有一个ADFS环境，并在默认的Active Directory索赔提供程序旁边配置了第二个Claim Provider。

HomeRealm发现“已禁用”，因为我已将Web应用程序设置为仅使用非AD索赔提供程序。

当前声明规则的配置使得来自第二个Claim Provider的声明包含在颁发给连接到我的Web应用程序的客户端的Auth令牌中。

是否可以配置声明规则，使来自Active Directory和第二个声明提供程序的声明数据包含在Auth令牌中？

例如：谷歌[邮件] +的ActiveDirectory [的samAccountName] =>身份验证令牌

Answer 1

是的，这是可能的。关键点是如何将从第二个Claim Provider trust返回的“用户”映射到AD用户。通常，令牌必须包含可用于在AD中查询相应用户的声明。以下链接显示如何查询来自AD的更多索赔以用于这种情况： https://blogs.msdn.microsoft.com/pinch-perfect/2015/09/14/querying-attributes-from-active-directory-using-adfs-with-a-3rd-party-identity-provider/