StefanWe 14 Geschrieben 25. September 2017 Melden Teilen Geschrieben 25. September 2017 Hallo, ich habe eine Verständnisfrage zum Thema Claim Rules. Bei O365 oder vielen anderen SAML Service providern wird die E-Mail Adresse oder UPN als "Name ID" verlangt. Nun steht in den meisten Anleitungen, dass die erste Claim Regel daraus besteht, die Mail Adresse oder UPN aus dem Active Directory auszulegen und als E-MailAddress weiter zu geben. In einer zweiten Claim Regel wird dann die E-MailAddress mittels einer Transform Regel zu Name ID gewandelt. Da frage ich mich, warum baut man nicht direkt in der ersten Regel als Ziel "NameID" ein, anstatt der Mailaddress ? Leider gibt es für AD FS wirklich sehr sehr wenig grundlegendes Informationsmaterial. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. September 2017 Melden Teilen Geschrieben 25. September 2017 (bearbeitet) Moin, ja, die schlechte Doku zu ADFS ist ein Problem. Spaß macht das nicht. Die Name ID ist auch so eine Sache für sich. Manchmal muss man da enorme Klimmzüge aufwenden, um die so zu bauen, dass beide Seiten sich verstehen. Das Beispiel, was du meinst, müsste man sich evtl. mal ansehen. Vielleicht lässt es sich wirklich durch eine einzige Regel abbilden. Vielleicht soll es aber auch die Mailadresse einmal als "E-Mailaddress" weitergeben und einmal als Name ID. Dann wären zwei Regeln schon okay. Gruß, Nils bearbeitet 25. September 2017 von NilsK Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 25. September 2017 Autor Melden Teilen Geschrieben 25. September 2017 Vielen Dank Nils. Der genaue Fall ist mir hier aufgefallen. (Schritt 12:) https://helpx.adobe.com/de/enterprise/kb/Configure_Microsoft_AD_FS_for_use_with_Adobe_SSO.html Die Aussage, einmal als E-Mailaddress und einmal als NameID, würde sinn machen. Allerdings bin ich davon ausgegangen, dass eine Transform Regel eben ein Objekt transformiert und nicht eine Kopie erzeugt und dieses transformiert. Was genau meinst du mit "Name ID ist auch so eine Sache für sich" ? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. September 2017 Melden Teilen Geschrieben 25. September 2017 Moin, das Adobe-Beispiel macht genau, was ich vermutet habe: Es sendet die Mailadresse einmal als Mailadresse und einmal als Name ID. Die Besonderheit an Name ID ist, dass es eine ganze Reihe von Subformaten gibt, von denen bisweilen nur eine ganz bestimmte funktioniert, und zwar dann meist eine, die ADFS von sich aus nicht sendet. Da muss man dann manchmal ziemlich rumfuhrwerken, damit es klappt. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 25. September 2017 Autor Melden Teilen Geschrieben 25. September 2017 Vielen Dank für deine Erklärung. Was mir aber noch zu Denken gibt, woher weist du (nicht falsch verstehen), dass er das Attribut einmal als Mailadresse und einmal als Name ID sendet? Vermutlich ist mein Verstand nicht in der Lage es zu begreifen, aber für mich ist eine Transformationsregel, eben eine Regel welche ein Objekt transformiert. Und wenn ich etwas transformiere, dann ist der Ursprung nicht mehr vorhanden. Mit dem Format verstehe ich. Vielen Dank. Dies könnte ja auch ein Grund sein, warum ich den UPN eben nicht direkt als NameID herausgeben kann, weil sonst das Format ggf. nicht passt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. September 2017 Melden Teilen Geschrieben 25. September 2017 Moin, dein Verständnis ist nicht korrekt. Es werden keine Objekte transformiert, sondern Daten von einem in ein anderes Format gebracht. Insgesamt scheinen es mir drei Regeln zu sein, und jede nimmt ein Datum an (incoming) und gibt es in einem bestimmten Format aus (outgoing). Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.