【发布时间】:2018-05-17 21:15:41
【问题描述】:
我正在尝试将一些组成员身份作为 ADFS3 上的声明发送给云依赖方。
我正在使用 Microsoft 文章(如下)创建规则以将组成员身份作为声明发送。 MS 文章在声明规则模板下说,选择发送组成员身份作为声明,然后在为规则命名并从 Active Directory 中选择一个组后,它没有指定为“传出声明类型”选择什么以及输入什么在“发出的索赔价值”框中。
有人有什么建议吗?
谢谢, 马吉德
【问题讨论】:
【发布时间】:2018-05-17 21:15:41
【问题描述】:
以下自定义规则有效。
@RuleName = "Add Group Claims"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://test.com/phase1"), query =
";memberOf;{0}", param = c.Value);
@RuleName = "Edit Group"
c:[Type == "http://test.com/phase1"]
=> add(Type = "http://test.com/phase2", Value = RegExReplace(c.Value, ",[^\n]*", ""));
@RuleName = "Remove CN from Group"
c:[Type == "http://test.com/phase2"]
=> add(Type = "http://schemas.xmlsoap.org/claims/Group", Value = RegExReplace(c.Value,
"^CN=", ""));
@RuleName = "Send Only Groups Containing ADFS"
c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value =~ "(?i)Groups-prefix"]
【讨论】:
假设您想传递 AD 组“isAdmin”。
第一部分是在 AD 中选择该组。
然后决定组名(例如http://company.com/Admin)和组值(例如isAdmin)。
如果用户是该组的成员,您将获得声明:
【讨论】:
-
感谢您回复我的询问。在 ADFS3 UI 中,有四个字段 1.claim Rule Name(我相信我可以给任何名字) 2. User's group(我可以从 AD 中选择) 3. outgoing claim Type(需要从下拉菜单中选择,我不知道该选择什么) 4. 传出索赔值(如果我理解正确,该值是AD组的名称)。你能评论这些领域吗?谢谢。
-
1) 是 2) 是 3) 您可以在框中输入一个有意义的名称 4) 您可以输入任何内容,但是是的,AD 组的名称是一个很好的做法
-
请注意,组通常作为角色声明类型发送。