ADFS - Mapping von Nutzern per Federation Trust - funktioniert für Mail, aber nicht für SAMAccount

[ChrisF007 0]

Hallo,

 

So langsam explodiert mein Kopf wegen folgendem Problem:

Für eine von uns entwickelte WebAnwendung verwenden wir ADFS zur Anmeldung.
Jetzt wollen wir einem Kunden Zugriff darauf geben und nutzen einen Federation Trust zwischen seiner und unserer Domain.

 

Soweit so gut... Da wir für die Anmeldung an der Anwendung noch spezielle Attribute benötigen, nutzen wir Shadow Accounts bei uns.

Dazu mappen wir die Mail aus seiner Domäne auf einen Shadow Nutzer bei uns.

Das funktioniert per folgender Claim Regel im Federation Trust:

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(store = "Active Directory", types = ("NAMEID"), query = "mail={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value);

Er findet einen Nutzer mit derselben Mail und gibt das AD Attribute EmployeeNumber aus.

 

Jetzt gibt es aber auch Nutzer beim Kunden ohne Mail. Daher wollen wir final den SAMAccountNamen nutzen um entsprechend ein "unique" Attribut zum Matchen zu haben.

In meiner Naivität dachte ich, dass das ja analog zur oberen Regel folgendermaßen funktionieren sollte:

 c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]  
=> issue(store = "Active Directory", types = ("NAMEID"), query = "sAMAccountName={0};employeeNumber;DOMAIN\sa_adfs$", param = c.Value); 

Tut es nur leider nicht.
Weiß jemand, wo mein Denkfehler liegt?

Danke,

Chris