Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

StefanWe

AD FS - Claim Transform Regel

Empfohlene Beiträge

Hallo,

 

ich habe eine Verständnisfrage zum Thema Claim Rules.

Bei O365 oder vielen anderen SAML Service providern wird die E-Mail Adresse oder UPN als "Name ID" verlangt.

Nun steht in den meisten Anleitungen, dass die erste Claim Regel daraus besteht, die Mail Adresse oder UPN aus dem Active Directory auszulegen und als E-MailAddress weiter zu geben.

In einer zweiten Claim Regel wird dann die E-MailAddress mittels einer Transform Regel zu Name ID gewandelt.

 

Da frage ich mich, warum baut man nicht direkt in der ersten Regel als Ziel "NameID" ein, anstatt der Mailaddress ?

 

Leider gibt es für AD FS wirklich sehr sehr wenig grundlegendes Informationsmaterial.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ja, die schlechte Doku zu ADFS ist ein Problem. Spaß macht das nicht.

 

Die Name ID ist auch so eine Sache für sich. Manchmal muss man da enorme Klimmzüge aufwenden, um die so zu bauen, dass beide Seiten sich verstehen. Das Beispiel, was du meinst, müsste man sich evtl. mal ansehen. Vielleicht lässt es sich wirklich durch eine einzige Regel abbilden. Vielleicht soll es aber auch die Mailadresse einmal als "E-Mailaddress" weitergeben und einmal als Name ID. Dann wären zwei Regeln schon okay.

 

Gruß, Nils

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielen Dank Nils.

 

Der genaue Fall ist mir hier aufgefallen. (Schritt 12:) https://helpx.adobe.com/de/enterprise/kb/Configure_Microsoft_AD_FS_for_use_with_Adobe_SSO.html

 

Die Aussage, einmal als E-Mailaddress und einmal als NameID, würde sinn machen. Allerdings bin ich davon ausgegangen, dass eine Transform Regel eben ein Objekt transformiert und nicht eine Kopie erzeugt und dieses transformiert.

 

Was genau meinst du mit "Name ID ist auch so eine Sache für sich" ?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

das Adobe-Beispiel macht genau, was ich vermutet habe: Es sendet die Mailadresse einmal als Mailadresse und einmal als Name ID. Die Besonderheit an Name ID ist, dass es eine ganze Reihe von Subformaten gibt, von denen bisweilen nur eine ganz bestimmte funktioniert, und zwar dann meist eine, die ADFS von sich aus nicht sendet. Da muss man dann manchmal ziemlich rumfuhrwerken, damit es klappt.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielen Dank für deine Erklärung. Was mir aber noch zu Denken gibt, woher weist du (nicht falsch verstehen), dass er das Attribut einmal als Mailadresse und einmal als Name ID sendet? Vermutlich ist mein Verstand nicht in der Lage es zu begreifen, aber für mich ist eine Transformationsregel, eben eine Regel welche ein Objekt transformiert. Und wenn ich etwas transformiere, dann ist der Ursprung nicht mehr vorhanden.

 

Mit dem Format verstehe ich. Vielen Dank. Dies könnte ja auch ein Grund sein, warum ich den UPN eben nicht direkt als NameID herausgeben kann, weil sonst das Format ggf. nicht passt. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

dein Verständnis ist nicht korrekt. Es werden keine Objekte transformiert, sondern Daten von einem in ein anderes Format gebracht. Insgesamt scheinen es mir drei Regeln zu sein, und jede nimmt ein Datum an (incoming) und gibt es in einem bestimmten Format aus (outgoing).

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×