我正在尝试将一些组成员资格作为对ADFS3的声明发送给云依赖方。
我正在使用一篇Microsoft文章(如下所示)来创建一条规则,以将组成员资格作为声明发送。MS文章说,在声明规则模板下,选择Send group Membership as Claim,然后在为规则指定名称并从Active Directory中选择一个组之后,它没有指定要为“传出声明类型”选择什么以及在“传出声明值”框中输入什么。
有人有什么建议吗?
谢谢,马吉德
发布于 2018-06-03 01:00:12
以下自定义规则起作用。
@RuleName = "Add Group Claims"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://test.com/phase1"), query =
";memberOf;{0}", param = c.Value);
@RuleName = "Edit Group"
c:[Type == "http://test.com/phase1"]
=> add(Type = "http://test.com/phase2", Value = RegExReplace(c.Value, ",[^\n]*", ""));
@RuleName = "Remove CN from Group"
c:[Type == "http://test.com/phase2"]
=> add(Type = "http://schemas.xmlsoap.org/claims/Group", Value = RegExReplace(c.Value,
"^CN=", ""));
@RuleName = "Send Only Groups Containing ADFS"
c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value =~ "(?i)Groups-prefix"]
发布于 2018-05-21 03:48:36
假设您想要传递AD组"isAdmin“。
第一部分是在AD中选择该组。
然后确定组名(例如http://company.com/Admin),然后确定组值(例如isAdmin)。
然后,如果用户是该组的成员,您将获得一个声明:
https://stackoverflow.com/questions/50400614
复制相似问题