Я предполагаю, что вы создали бы Проверяющую сторону для AWS congnito в ADFS для доступа и настройки приложения в вашем провайдере идентификации (в данном случае это ADFS). Вам нужно будет найти SID группы и вручную изменить правила заявки, чтобы ограничить этот доступ. Вы можете использовать PowerShell на локальном сервере Active Directory, чтобы получить SID группы, доступ к которой вы хотите разрешить.
Get-ADGroup -Identity "Имя вашей группы"
И затем вам нужно будет использовать следующую строку для включения в существующее правило заявки.
&& существует ([Тип == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Значение = ~" "])
существует ([Тип == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Значение ==" ", Эмитент = ~" ^ AD AUTHORITY $ "]) => проблема (Тип =" http://schemas.microsoft.com/authorization/claims/permit", Значение = "true");
Приведенные выше два примера являются примерами, и вы можете использовать любой из двух вариантов в соответствии с настройками проверяющей стороны в ADFS.