配置 ADFS 以允許訪問伺服器應用程序並應用身份驗證策略

我的目標是將身份驗證從我的 OIDC 身份提供者（使用身份伺服器 4）委託給 ADFS。在 ADFS 中，我還想配置在該場景中必須使用 MFA。

根據文件和我的解釋，我Server application在AD FS -> Application Groups. 該定義為我提供了一個客戶端 ID 和客戶端密碼，這很好，因為我的 IDP 是一個機密客戶端。委派工作正常。現在的問題是我無法配置應用於該客戶端的身份驗證策略，即使用者在登錄時必須使用 MFA。

Web Api客戶端定義是唯一允許配置身份驗證策略的（與Native application和相對）。（在此處Server application的範例中可見）。我不明白為什麼存在可能的應用程序類型。Web api 不會從 ADFS 請求訪問或 ID 令牌。它只需要驗證令牌。但是和or之間似乎存在一些依賴關係（由於客戶端-伺服器應用程序模板）。Web API``Web API``Native application``Server application

是否有可能以及如何使用身份驗證策略配置機密客戶端？

同時，我在stackoverflow上找到了解決方案。

引用：

這似乎可以通過在同一個應用程序組中定義兩個應用程序來實現：

The server application, which has a client secret in addition to client id
The WebAPI application, for which you can define an access policy.

為了完成這項工作，您需要將依賴方標識符（伺服器應用程序的客戶端 ID）分配給 WebAPI 標識符，並確保 WebAPI 應用程序的“客戶端權限”包含伺服器應用程序。

如果訪問策略未成功評估，則依賴方（請求身份驗證的應用程序）將收到 access_denied 消息。

引用自：https://serverfault.com/questions/1021203