adfs saml 转换规则

2024年3月26日发(作者：)

ADFS SAML 转换规则

1. 介绍

在企业网络环境中，安全和身份验证是至关重要的。ADFS（Active Directory

Federation Services）是一种由微软提供的身份验证解决方案，它允许用户在不

同的应用程序和服务之间进行身份验证。SAML（Security Assertion Markup

Language）是一种用于在不同的安全领域之间传递身份验证和授权数据的标准。本

文将探讨ADFS如何使用SAML转换规则来实现身份验证。

2. ADFS简介

ADFS是一种基于标准的身份验证解决方案，它允许用户使用他们的企业凭据登录

不同的应用程序和服务。它基于SAML协议，通过安全令牌来传递身份验证和授权

信息。ADFS可以与不同的身份提供者集成，包括Active Directory、LDAP和其他

标准的身份验证提供者。

3. SAML简介

SAML是一种用于在不同的安全领域之间传递身份验证和授权数据的标准。它使用

基于XML的格式来传递安全令牌，这些令牌包含有关用户身份验证和授权的信息。

SAML支持单点登录（SSO），允许用户使用一组凭据登录多个应用程序和服务。

4. ADFS和SAML的集成

ADFS使用SAML协议来与不同的身份提供者进行身份验证和授权。在集成过程中，

需要定义转换规则来映射ADFS和SAML之间的属性和声明。转换规则定义了如何将

ADFS的属性映射到SAML令牌中的声明。

5. ADFS SAML 转换规则

ADFS SAML 转换规则定义了如何将ADFS的属性映射到SAML令牌中的声明。它由一

系列规则和操作组成，用于处理属性和声明之间的转换。以下是一些常见的转换规

则：

5.1 值转换

值转换规则用于将ADFS的属性值转换为SAML令牌中的声明值。例如，将ADFS中

的”Department”属性的值转换为SAML令牌中的”urn:oid:2.5.4.11”声明。

5.2 属性映射

属性映射规则用于将ADFS的属性映射到SAML令牌中的声明。例如，将ADFS中

的”EmailAddress”属性映射到SAML令牌中

的”urn:oid:0.9.2342.19200300.100.1.3”声明。

5.3 声明生成

声明生成规则用于生成SAML令牌中的声明。例如，根据ADFS中的用户属性生成

SAML令牌中的”Role”声明。

5.4 条件规则

条件规则用于根据ADFS中的属性值来设置SAML令牌中的条件。例如，根据ADFS

中的”IsManager”属性值设置SAML令牌中

的”urn:oasis:names:tc:SAML:1.0:conditions:AccessConditions”条件。

6. ADFS SAML 转换规则的配置

在ADFS中配置SAML转换规则需要以下步骤：

1.

2.

3.

4.

5.

6.

登录到ADFS服务器。

打开ADFS管理控制台。

导航到”转换规则”选项卡。

创建新的转换规则或编辑现有的转换规则。

定义转换规则的条件、操作和声明。

保存并应用转换规则的更改。

7. 总结

通过ADFS和SAML的集成，企业可以实现跨不同应用程序和服务的身份验证和授权。

ADFS SAML转换规则定义了如何将ADFS的属性映射到SAML令牌中的声明。通过配

置ADFS转换规则，可以灵活地管理和控制身份验证和授权过程。这种集成和配置

为企业提供了更高的安全性和便利性。