對特定的應用程序組使用特定的聲明提供程序信任
我有一個使用 ADFS 的 Windows Server 2016。我點擊了https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories上的連結將 LDAP (AD LDS) 配置為聲明提供程序信任。接下來我想配置應用程序組或依賴方以使用特定的聲明提供程序。例如,我想將 AD 用於應用程序,LDS 用於另一個應用程序,兩者都用於第三個應用程序。目前,我獲得了所有應用程序的兩個選項。任何人都可以幫助管理這部分嗎?
我最好的猜測是添加 Issuance 轉換規則 –> 轉換傳入聲明,因為我已經檢查了依賴方和應用程序組的訪問控制策略和屬性,並且我沒有找到任何可以提及使用的聲明提供程序信任或身份驗證方法的地方.
從此:_
通過依賴方 (RP) 配置
RP 是一個應用程序,例如 Salesforce。
您可以將 RP 映射到 IDP。
例如,RP A 的所有使用者都將使用 Fabrikam IDP 進行身份驗證。
命令是:
Set-AdfsRelyingPartyTrust -TargetName “RP A” -ClaimsProviderName @(“Fabrikam”,“Active Directory”)
在 nzpcmad 的回答中,它解釋瞭如何為依賴方設置它,可以使用以下命令對應用程序組應用程序執行相同的操作
Set-AdfsWebApiApplication -TargetName "Web SPA" -ClaimsProviderName @("Fabrikam","Active Directory")其中“Web SPA”是來自應用程序組的應用程序,而 Fabrikam 和 Active Directory 是聲明提供者。
我無法為所有應用程序組設置它,但對於單個應用程序,如果有人可以為應用程序組設置它,請添加答案。