Inleiding
In dit document wordt beschreven hoe u handmatig een Attribuut-UID toevoegt in ADFS-vertrouwende partij met behulp van een syntex.
Voorwaarden
Vereisten
Gebruikte componenten
- ADFS-server
- Cisco Webex Control Hub
- On-Prem AD
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiƫle impact van elke opdracht begrijpt.
Configureren
Dit is iets dat handig is als er een probleem is met het toevoegen van een Attribuutclaim in ADFS vanwege een bestaand attribuut.
Scenario 1
U hebt een bestaande vertrouwenspersoon die een claimregel heeft gemaakt met een kenmerk met de naam UID of UID.
Dit mislukt de authenticatie omdat Webex (SP) hoofdlettergevoelig is voor het vereiste attribuut en het moet uid zijn en het e-mailadres van de gebruiker doorgeven in SAML-reactie.
Scenario 2
U hebt een vertrouwenspersoon die een claimregel heeft die een attribuut met de naam uid doorgeeft, maar die is gekoppeld aan een ander attribuut in AD dan nodig is (e-mailadres/gebruikersnaam). Dit zorgt voor problemen.
Configuraties
In een ideale configuratie volgens de Cisco Webex Guide moet de ADFS-configuratie er als volgt uitzien:

ADFS-beheerders kunnen dit bezoeken vanuit hun vertrouwenspersoon -> vertrouwen dat ze hebben gemaakt voor Webex -> Claim-uitgiftebeleid bewerken -> Regel bewerken -> Attributen bekijken -> Taal van regel bekijken.
De voertaal in platte tekst is:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Uitgever == "AD-AUTORITEIT"]
=> probleem(store = "Active Directory", types = ("uid"), query = ";userPrincipalName;{0}", param = c.Value);
Aangezien de configuratie niet goed wordt weergegeven, maakt u deze regel handmatig met de platte tekst van de regeltaal.
Voeg een aangepaste claimregel toe aan de ADFS-server onder Webex Relying Party Trust
Stappen om deze regel te maken
- Selecteer in het hoofdvenster van ADFS de vertrouwensrelatie die u hebt gemaakt en selecteer vervolgens Claimregels bewerken. Selecteer onder het tabblad Transformatieregels voor uitgifte de optie Regel toevoegen.
- Selecteer Claims verzenden met behulp van een aangepaste regel en selecteer Volgende.
- Kopieer de regel van uw teksteditor (beginnend bij c:) en plak deze in het aangepaste regelvak op uw ADFS-server.
Dit moet er zo uitzien:


Zodra dit is gedaan, kunt u SSO testen vanuit de Control Hub en dat moet werken zoals verwacht.