在 ADFS 中,是否可以限制 OU 的用户 ID 集不允许进行身份验证?
例如:如果我们在活动目录中有 2 个 OU(假设 OU1 和 OU2),如果 OU1 中的用户尝试从 ADFS 登录屏幕登录,我们应该允许他针对 AD 进行身份验证,但如果 OU2 中的用户尝试从 ADFS 登录屏幕登录,我们不应该允许进行身份验证并显示错误消息“无效的用户 ID 或密码”。
谢谢,
答案1
要在颁发规则之前执行此操作,您可能必须修改 IdpInitiatedSignOn.aspx 并编写一些自定义代码。
猜猜你已经知道发行规则...但万一其他人不介意在身份验证后进行发行 - 或者你还没有找到解决方案......
如果你有 Exchange 或其他方式(我使用 Powershell 完成此操作)基于 OU 构建动态组http://technet.microsoft.com/en-us/library/bb123722.aspx您可以根据它们的 OU 将它们分组。请注意,如果您使用 Exchange,当 OU 1 或 OU 2 互为子级时,您将遇到问题...
然后,您可以(在依赖方声明中)创建“颁发授权规则”以拒绝对特定组 SID 的访问。您只需输入要拒绝的组,在他们尝试进行身份验证(密码正确或不正确)后,他们就会被拒绝。(消息不太好看。)
他们会收到标准的“您配置错误” ADFS 消息,其中包含以下信息:
拒绝访问
服务器名称
访问网站时出现问题。请尝试再次浏览该网站。如果问题仍然存在,请联系该网站的管理员并提供参考编号以确定问题。您无权访问该网站。
请联系您的管理员获取更多信息。参考编号:dddddd-71aa-26bb-dd34-e4569b8c04452