我们在 Active Directory 环境中具有双向信任,以方便用户从“域 X”迁移到“域 A”。
我们有多个应用程序指向使用“域 A”中的身份的 ADFS 场。
在此共存期间,用户尝试使用其“域 X”身份向我们的 ADFS 服务器进行身份验证。这在应用程序端不起作用。(应用程序只知道 xxx@domainA)。域 A 和域 X 之间的 SamAccountName 完全不同。我尝试通过中继方信任中的“颁发授权规则”拒绝身份验证,但用户仍保持对我们的 ADFS 的身份验证,并且应用程序仅显示 SAML 错误消息。
为了避免混淆,我想明确拒绝对域 A 以外的其他域的 ADFS 进行身份验证。可以吗?
为了记录,这里是尝试的拒绝规则:exists([Type ==“http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 值 == "SID OF DOMAINX\Domain Users"]) => 问题(类型 = "http://schemas.microsoft.com/authorization/claims/deny", 值 = "true");
谢谢