有没有办法创建一个声明,返回用户所属的所有组和超级组的 DN?
当前运行 Windows 2012 R2 ADFS。
例子:
我有一个类似以下的群组结构。
GrandparentGroup
ParentGroupA (memberOf=GrandparentGroup)
ParentGroupB (memberOf=GrandparentGroup)
GroupA (memberOf=ParentGroupA)
GroupB (memberOf=ParentGroupA)
GroupC (memberOf=ParentGroupB)
GroupD (memberOf=ParentGroupB)
UserA (memberOf=GroupA)
UserB (memberOf=GroupA, memberOf=GroupB)
我想在 UserA 登录时返回 GroupA、ParentGroupA 和 GrandparentGroup 的完整 DN。
如果无法建立索赔,是否有其他方法可以使用 ADFS 来处理这种情况?
答案1
这个问题的答案已在另一个论坛上得到回答。
列出用户的所有组(包括嵌套组)的 LDAP 过滤器是:
(成员:1.2.840.113556.1.4.1941:=
例如:(成员:1.2.840.113556.1.4.1941:=CN=Alice,OU=Accounts,DC=contoso,DC=com)
现在它如何转化为声明规则并最终转化为声明……首先,我创建了 2 个声明定义。一个名为 UserDN,其 ID 为http://contoso.com/myclaims/UserDN以及 ID 为 MemberOfDN http://contoso.com/myclaims/MemberOfDN。您猜第一个将接收用户的 DN,第二个将接收用户所属的所有成员的所有 DN。
完整文章可以在这里找到:回答。