Настройка поставщика утверждений для группы приложений или проверяющей стороны

Question

У меня Windows Server 2016, на котором я использую ADFS.Я перешел по ссылке https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories, чтобы настроить LDAP (AD LDS) в качестве поставщика утверждений.Затем я хотел настроить группы приложений или проверяющие стороны для использования определенного поставщика утверждений.Например, я хочу использовать AD для приложения, LDS для другого и оба для третьего.В настоящее время я получаю оба варианта для всех приложений.Кто-нибудь может помочь в управлении этой частью?

Мое лучшее предположение - добавить правило преобразования Issuance -> Transform входящее утверждение, потому что я уже проверил политики контроля доступа и Свойства для проверяющей стороны и групп приложений, и я не нашелчто-нибудь, где я могу упомянуть использованный траст поставщика доверия или метод аутентификации

Answer 1

Мне удалось настроить конкретного поставщика утверждений для каждой проверяющей стороны или приложения, выполнив этот документ по настройке обнаружения домашней области.Ниже приведен сценарий Powershell для достижения этой цели.

Для проверяющей стороны (Ws-Fed)

Set-AdfsRelyingPartyTrust -TargetName "RP Name" -ClaimsProviderName @("Provider 1","Active Directory")

Для приложения (SAML)

Set-AdfsWebApiApplication -TargetName "Web App Name" -ClaimsProviderName @("Provider 1","Active Directory")

Здесь вы указываете имя вашей проверяющей стороны или приложения после -TargetName и Список имен поставщиков утверждений в параграфах

Следует отметить, что вы не устанавливаете поставщика утверждений для приложениягруппа, но отдельные приложения внутри этой группы, поэтому используйте имена соответственно.