Imiter les requêtes user / locataire AD Azure dans ADFS

J'ai une application Web .Net qui permet aux users de twigr leur count avec un fournisseur d'identité (Azure AD, Google et / ou ADFS) pour permettre une connection unique.

Lors de la connection de leur count (ou "à bord", quel que soit le …), chaque fournisseur doit renvoyer les valeurs suivantes:

  1. ID unique de l'user (une valeur d'ID constante sur le locataire qui ne change jamais pour l'user (par exemple, si son nom change, la valeur est toujours constante)
  2. Identique unique du locataire Étant donné que les users utilisent l'application à partir de plusieurs bases de clients, j'ai besoin de stocker une valeur d'identification pour chaque fournisseur / fournisseur d'ID de chaque client
  3. Nom d'user Un nom convivial pour l'user (par exemple, l'adresse électronique) qui peut être utilisé pour leur montrer leur «nom» sur le fournisseur (par exemple, c'est votre email si vous utilisez Google ou Azure AD)

Je l'ai déjà réalisé dans Azure AD et Google, mais je suis en difficulté avec ADFS. Comme je n'ai pas de server ADFS en direct, j'utilise une machine virtuelle pour voir comment ce qui précède pourrait être configuré comme une réclamation.

Est-il possible dans ADFS de configurer une partie confiante, puis créez trois revendications pour remplir ce qui précède?

Après avoir travaillé à travers le dialog sur les règles de réclamation ADFS, j'ai supposé que cela pourrait fonctionner, mais manque d'expérience pour savoir si cela est valide:

  1. ID de nom – Identificateur persistant
  2. Incertain – peut-être créer une réclamation manuellement avec la valeur "CompanyABC_Tenant123"
  3. UPN

Le n ° 2 ci-dessus doit être fait. Ou, est-ce qu'il y a une meilleure façon de réaliser ce dont j'ai besoin? Je note que si vous utilisez Azure AD Access Control, les trois éléments ci-dessus sont peuplés automatiquement, mais supposons que les ID ont été créées dans le nuage plutôt que sur place.

Pour le premier, utilisez objectGUID – référez-vous: ADFS: objectGUID comme réclamation .

Pour le second, il peut y avoir plusieurs domaines et dans un domaine plusieurs domaines d'access ADFS et à l'intérieur d'une batterie plusieurs instances ADFS. Donc, idéalement, une revendication statique ressemble à:

nom de domaine / ferme / machine

Mais les règles de réclamation sont les mêmes dans la ferme, donc:

domaine / ferme

Pour le troisième, oui utilisez UPN.