Zum Inhalt wechseln


Foto

AD FS - Claim Transform Regel


  • Bitte melde dich an um zu Antworten
5 Antworten in diesem Thema

#1 StefanWe

StefanWe

    Board Veteran

  • 1.222 Beiträge

 

Geschrieben 25. September 2017 - 06:47

Hallo,

 

ich habe eine Verständnisfrage zum Thema Claim Rules.

Bei O365 oder vielen anderen SAML Service providern wird die E-Mail Adresse oder UPN als "Name ID" verlangt.

Nun steht in den meisten Anleitungen, dass die erste Claim Regel daraus besteht, die Mail Adresse oder UPN aus dem Active Directory auszulegen und als E-MailAddress weiter zu geben.

In einer zweiten Claim Regel wird dann die E-MailAddress mittels einer Transform Regel zu Name ID gewandelt.

 

Da frage ich mich, warum baut man nicht direkt in der ersten Regel als Ziel "NameID" ein, anstatt der Mailaddress ?

 

Leider gibt es für AD FS wirklich sehr sehr wenig grundlegendes Informationsmaterial.


MCSA 2012 R2, Citrix CCP-Mobility,CCP-Networking,CCP-Virtualization, Astaro Certified Administrator, VMWare VCP 6


#2 NilsK

NilsK

    Expert Member

  • 12.393 Beiträge

 

Geschrieben 25. September 2017 - 11:54

Moin,

 

ja, die schlechte Doku zu ADFS ist ein Problem. Spaß macht das nicht.

 

Die Name ID ist auch so eine Sache für sich. Manchmal muss man da enorme Klimmzüge aufwenden, um die so zu bauen, dass beide Seiten sich verstehen. Das Beispiel, was du meinst, müsste man sich evtl. mal ansehen. Vielleicht lässt es sich wirklich durch eine einzige Regel abbilden. Vielleicht soll es aber auch die Mailadresse einmal als "E-Mailaddress" weitergeben und einmal als Name ID. Dann wären zwei Regeln schon okay.

 

Gruß, Nils


Bearbeitet von NilsK, 25. September 2017 - 11:56.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 StefanWe

StefanWe

    Board Veteran

  • 1.222 Beiträge

 

Geschrieben 25. September 2017 - 12:04

Vielen Dank Nils.

 

Der genaue Fall ist mir hier aufgefallen. (Schritt 12:) https://helpx.adobe...._Adobe_SSO.html

 

Die Aussage, einmal als E-Mailaddress und einmal als NameID, würde sinn machen. Allerdings bin ich davon ausgegangen, dass eine Transform Regel eben ein Objekt transformiert und nicht eine Kopie erzeugt und dieses transformiert.

 

Was genau meinst du mit "Name ID ist auch so eine Sache für sich" ?


MCSA 2012 R2, Citrix CCP-Mobility,CCP-Networking,CCP-Virtualization, Astaro Certified Administrator, VMWare VCP 6


#4 NilsK

NilsK

    Expert Member

  • 12.393 Beiträge

 

Geschrieben 25. September 2017 - 12:50

Moin,

 

das Adobe-Beispiel macht genau, was ich vermutet habe: Es sendet die Mailadresse einmal als Mailadresse und einmal als Name ID. Die Besonderheit an Name ID ist, dass es eine ganze Reihe von Subformaten gibt, von denen bisweilen nur eine ganz bestimmte funktioniert, und zwar dann meist eine, die ADFS von sich aus nicht sendet. Da muss man dann manchmal ziemlich rumfuhrwerken, damit es klappt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 StefanWe

StefanWe

    Board Veteran

  • 1.222 Beiträge

 

Geschrieben 25. September 2017 - 13:47

Vielen Dank für deine Erklärung. Was mir aber noch zu Denken gibt, woher weist du (nicht falsch verstehen), dass er das Attribut einmal als Mailadresse und einmal als Name ID sendet? Vermutlich ist mein Verstand nicht in der Lage es zu begreifen, aber für mich ist eine Transformationsregel, eben eine Regel welche ein Objekt transformiert. Und wenn ich etwas transformiere, dann ist der Ursprung nicht mehr vorhanden.

 

Mit dem Format verstehe ich. Vielen Dank. Dies könnte ja auch ein Grund sein, warum ich den UPN eben nicht direkt als NameID herausgeben kann, weil sonst das Format ggf. nicht passt. 


MCSA 2012 R2, Citrix CCP-Mobility,CCP-Networking,CCP-Virtualization, Astaro Certified Administrator, VMWare VCP 6


#6 NilsK

NilsK

    Expert Member

  • 12.393 Beiträge

 

Geschrieben 25. September 2017 - 13:51

Moin,

 

dein Verständnis ist nicht korrekt. Es werden keine Objekte transformiert, sondern Daten von einem in ein anderes Format gebracht. Insgesamt scheinen es mir drei Regeln zu sein, und jede nimmt ein Datum an (incoming) und gibt es in einem bestimmten Format aus (outgoing).

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!