ADFS 3, создайте правило для отправки членства в группе в качестве заявки - PullRequest
Новая
       62

ADFS 3, создайте правило для отправки членства в группе в качестве заявки

0 голосов
/ 18 мая 2018

Я пытаюсь отправить членство в нескольких группах в качестве претензии к ADFS3 облачной проверяющей стороне.

Я использую статью Microsoft (ниже), чтобы создать правило для отправки членства в группе в качестве претензии. В статье MS говорится, что в разделе Шаблон правила заявки выберите Отправить членство в группе в качестве заявки, а затем после присвоения имени правилу и выбора группы в Active Directory не указывается, что выбрать для «Типа исходящей заявки» и что вводить. в поле «Значение исходящей заявки».

У кого-нибудь есть предложения?

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/create-a-rule-to-send-group-membership-as-a-claim

Спасибо, Маджид

Ответы [ 2 ]

0 голосов
/ 02 июня 2018

Сработали следующие пользовательские правила. 

      @RuleName = "Add Group Claims"
                     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
                     Issuer == "AD AUTHORITY"]
                      => add(store = "Active Directory", types = ("http://test.com/phase1"), query = 
                     ";memberOf;{0}", param = c.Value);

                     @RuleName = "Edit Group"
                     c:[Type == "http://test.com/phase1"]
                      => add(Type = "http://test.com/phase2", Value = RegExReplace(c.Value, ",[^\n]*", ""));

                     @RuleName = "Remove CN from Group"
                     c:[Type == "http://test.com/phase2"]
                      => add(Type = "http://schemas.xmlsoap.org/claims/Group", Value = RegExReplace(c.Value, 
                     "^CN=", ""));

                     @RuleName = "Send Only Groups Containing ADFS"
                     c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value =~ "(?i)Groups-prefix"]
0 голосов
/ 20 мая 2018

Предположим, вы хотели передать группу AD "isAdmin".

Первая часть выбирает эту группу в AD.

Затем выберите имя группы (например, http://company.com/Admin)и затем значение группы (например, isAdmin).

Тогда, если пользователь является членом этой группы, вы получите претензию:

http://company.com/Admin/isAdmin

...