Я пытаюсь создать правило авторизации в ADFS 3.0, отключив некоторых пользователей в определенной форме «OU» с помощью «проверяющей стороны», но безуспешно.
В правилах преобразования выдачи янастроил утверждение "http://schemas.microsoft.com/ws/2008/06/identity/claims/distinguishedname" для получения отличительного имени из AD.
Вот пример: CN = John Doe, OU = XYZ, OU = ABC, DC = CONTOSO, DC =com
Это правило должно запрещать доступ пользователям в OU XPTO
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/distinguishedname", Value =~ "^[^,]*,OU=XPTO.*$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
И это правило должно разрешать доступ всем пользователям за пределами OU XPTO
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/distinguishedname", Value !~ "^[^,]*,OU=XPTO.*$"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Новместо этого эти правила предоставляют доступ некоторым пользователям и запрещают другим, они запрещают доступ всем пользователям
Можете ли вы пролить свет на эту проблему?