你好,我遇到了 ADFS/WAP 问题
我发布了一个 Web 服务通过 ADFS/WAP 进行基本身份验证
我的后端 Web 服务需要通过基本身份验证不含 REALM喜欢:
<Username>:<Password>
但使用 ADFS/WAP 实现时,您需要始终添加 REALM,以便 ADFS 可以进行身份验证
来自外部的 ADFS/WAP 请求通过身份验证:
<USERNAME>@<REALM>:<PASSWORD>
但是我的后端服务需要
<USERNAME>:<PASSWORD>
我想要实现的是 Web 应用程序代理接受
<USERNAME>:<PASSWORD>
并再次验证默认域,然后通过
<USERNAME>:<PASSWORD>
到后端服务。
有人遇到同样的问题吗?
是否可以使用 ADFS 规则解决此问题?
在此先感谢您的时间。
答案1
您可以通过编写 ADFS 声明(或自定义)规则来从入站声明中剥离“@”元素来实现您的业务目标。https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claim-rules包含有关如何使用默认声明模板编写声明规则的有用指导。对于您的情况,我建议使用“转换传入声明”模板。详情如下。
使用声明规则模板声明规则模板仅在声明规则创建过程中使用。您可以使用以下任何模板来创建声明规则:
传递或过滤传入声明 转换传入声明 将 LDAP 属性作为声明发送 将组成员身份作为声明发送 使用自定义规则发送声明 根据传入声明允许或拒绝用户 允许所有用户 + 有关描述每个声明规则模板的更多信息,请参见https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/determine-the-type-of-claim-rule-template-to-use。