Question

AD FS поддерживает протокол OpenID Connect для аутентификации пользователей.AD FS поддерживает политики доступа для приложений WebAPI, но не для серверных приложений, по крайней мере, я не смог найти.

Можно ли определить политику доступа для серверного приложения?Бизнес-сценарий действительно прост: разрешить аутентификацию только пользователям из определенной группы с определенным идентификатором клиента.

Если предприятие развертывает AD FS с AD DS и развертывает несколько приложений (каждое из которых зарегистрировано отдельно, таким образом, получаяуникальный идентификатор клиента и секрет клиента), это можно использовать, чтобы разрешить / запретить пользователям проходить проверку подлинности в ADFS для данного (зарегистрированного) клиента (проверяющей стороны).

miha · Answer 1 · 11 мая 2018

Похоже, что это возможно путем определения двух приложений в одной группе приложений:

Серверное приложение, которое имеет client secret в дополнение к client id
Приложение WebAPI, для которого вы можете определить политику доступа.

Чтобы эта работа работала, вам необходимо присвоить идентификатор проверяющей стороны (client id серверного приложения) идентификаторам WebAPI и убедиться, что «Клиентские разрешения» приложения WebAPI содержат серверное приложение.

Если политика доступа не была успешно оценена, проверяющая сторона (приложение, запрашивающее аутентификацию) получит сообщение access_denied.

Группа приложений:

Серверное приложение:

Приложение WebAPI:

Включение политики доступа в ADFS 4.0 для клиентов OpenID Connect

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Включение политики доступа в ADFS 4.0 для клиентов OpenID Connect

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы