我刚刚实现了一个 ADFS 服务器,通过 SAML 2.0 将第三方聊天工具与我们的 Active Directory 连接起来。
到目前为止一切都运行良好,但有一个小问题:只要用户登录,聊天工具就会自动为他创建一个帐户。这是一个问题,因为每个帐户都会产生费用。
有什么方法可以将 ADFS 的使用限制在 AD 组中吗?
答案1
这可以通过添加所谓的发证授权规则。
一步步:
- 打开 AD FS 管理中心
- 扩张信任关系
- 选择依赖方信任
- 右键单击所需的信任
- 点击编辑申索规则
- 转到发卡授权规则标签
- 删除默认允许所有用户访问规则
- 点击添加规则
- 选择根据传入声明允许或拒绝用户
- 传入索赔类型,选择组 SID
- 点击浏览在索赔额
- 选择所需的组
- 你完成了