奇怪的是,由于某种原因,我无法在我的Azure示例上设置SAML中的主题/名称ID。
它似乎总是默认为Stock Microsoft Windows。我们尝试了不同的属性值和转换,但它似乎总是默认回到Microsoft Windows。
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">qAQx8T4vIpuL866RU691ifJ0gObt564JKYWuEC80_U0</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="id-4fef566567e33c8abc6f23f08bd4dc4f6d8cc0b"
NotOnOrAfter="2023-06-08T21:10:15.856Z"
Recipient="https://idp.ngrok.com/saml/edghtsrt_2Qw4TKzV0wq7bwDqMntP6WLxaFB/acs"
</SubjectConfirmation>
</Subject>字符串
也许这个更新/更改需要很长时间,这是非常奇怪的。在过去,我们知道我们可以设置名称ID为电子邮件地址(有效的电子邮件地址)
我尝试了各种用户属性,甚至尝试了混合结果的转换。
x1c 0d1x的数据
有什么建议吗?我无法想象人们不想改变SubjectID。
希望这是我们缺少的策略或安全设置。
1条答案
按热度按时间yyhrrdl81#
我们最近遇到了同样的问题。在Azure Web UI中的“企业应用程序”>“单点登录”>“属性和声明”下,一切都看起来很好。“唯一用户标识符(名称ID)”的声明配置显示“名称标识符格式”为“电子邮件地址”,但SAMLAssert包含
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">[...]</NameID>。在我们的例子中,通过将“Name identifier format”更改为“Persistent”并保存更改,解决了这个问题。然后我们将其更改回“Email address”。之后,SAMLAssert包含正确的NameID。
我发现这个问题似乎类似,即使配置是使用terraform:https://github.com/hashicorp/terraform-provider-azuread/issues/846创建的。