Как добавить пользовательскую заявку в ADFS 4 на основе атрибута employeeId и членства в OU

Question

Нам необходимо передать запрос от ADFS 4.0 проверяющей стороне на основе комбинации атрибута Id сотрудника Active Directory и членства в OU. Я полагаю, что наилучшей практикой может быть использование членства в группах безопасности, но в нашем случае группы просто не настроены точно, следовательно, это необходимо.

Например, если человек с идентификатором сотрудника VX224400 (атрибут AD employeeId AD) имеет значение VX224400) присутствует в OU=SAXTechs,DC=london,DC=fabrikam,DC=com OU, тогда заявка LondonSAXTechs должна быть добавлена ​​в список заявлений role , передаваемых в RP.

Другими словами, в списке требований на стороне RP должно быть следующее:

http://schemas.microsoft.com/ws/2008/06/identity/claims/role | LondonSAXTechs

Не совсем уверен, как это сделать, используя язык правил утверждений . Любая помощь приветствуется.

Answer 1

Требование, которое требуется в токене, не зависит от идентификатора сотрудника. Как вы упомянули, «тогда заявку« LondonSAXTechs »следует добавить в список заявок на роль, передаваемых в RP». Также пример OU, который вы упомянули, может сильно отличаться. Внутри лондонского подразделения также могут быть подразделения. Теперь создать правило для этого требования не так сложно, но ввод должен быть постоянным. Чтобы объяснить это дальше, если мы урежем последние два значения для вашего примера, вы получите ожидаемый результат. Но если в Лондоне есть еще одно подразделение, претензия не будет сформирована должным образом.