...
MPASSid:n metadata url-osoitteella
|
MPASSid:n metadata paikallisesti
...
Päivitä alla oleviin komentoihin metadatatiedoston sijainti ja nimi, jos käytit jotain toista tiedostonimeä.
|
MPASSid:lle lähetettävien attribuuttien määrittely
...
Päivitä alla oleviin komentoihin MPASSid:lle lähetettäviä attribuutteja vastaavat AD:n attribuutit. Types kohdassa määritellään minkä tyyppisenä attribuutit lähetetään MPASSid:lle ja query kohdassa määritellään mistä AD:n attribuutista vastaava attribuutti löytyy. Types ja query kohtien attribuuttien järjestys vastaa toisiaan.
MPASSid:n claim
...
rulejen määritys
|
|
ADFS:n tiedot MPASSid:lle
...
- Claim rule tekee kyselyn AD:lle ja hakee kyselyssä määritellyt attribuutit
- Types -kohdassa on määritelty minkä tyyppisinä attribuutit lähetetään MPASSid:lle ja query kohdassa on määritelty mistä AD:n attribuutista haluttu tieto löytyy.
- Types ja query kohtien järjestys vastaa toisiaan. Eli esimerkiksi mpassUserIdentity attribuutti haetaan AD:n objectGuid attribuutista.
- Voit lisätä, muuttaa ja poistaa attribuutteja tarvittessa. Jos esimerkiksi käyttäjän tiedoista AD:lla ei löydy kuntakoodia, niin poista types kohdasta "mpassMunicipalityCode" ja query kohdasta vastaava attribuutttiattribuutti.
|
|
Esimerkkejä erilaisista claim ruleista
...
Kuntakoodin lähettäminen kiinteänä arvona
|
Numeerisen roolitiedon muuttaminen tekstimuotoiseksi
|
|
|
|
|
|
|
|
Send mpassUserRole opettaja
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/role"
, Value =~
"^2"
]
=> issue(Type =
"mpassUserRole"
, Value =
"opettaja"
);
Windows Server 2019 ADFS
Windows Server 2019 ADFS lisää oletuksena metadataansa contact personin email addressin tyhjänä elementtinä. Jotta metadatan validointi toimii, niin email address tulee olla määriteltynä.
Code Block | ||
---|---|---|
| ||
# Tarkista ensin onko contact person:n tiedot jo annettu:
(Get-AdfsProperties).ContactPerson
# Jos edellisen komennon tuloksena EmailAddresses on tyhjä, niin tällä voit lisätä sen.
# Huom! tämä ylikirjoittaa mahdolliset aiemmat ContactPerson määritykset, joten kaikki tiedot tulee asettaa uudelleen.
$CP = New-AdfsContactPerson [-Company <string>] [-EmailAddress <string[]>] [-GivenName <string>] [-TelephoneNumber <string[]>] [-Surname <string>]
Set-AdfsProperties -ContactPerson $CP |