我有一台 Windows Server 2016,正在使用 ADFS。我点击了以下链接:https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories将 LDAP (AD LDS) 配置为声明提供程序信任。接下来我想配置应用程序组或依赖方以使用特定的声明提供程序。例如,我想将 AD 用于一个应用程序,将 LDS 用于另一个应用程序,将两者用于第三个应用程序。目前我为所有应用程序获得了这两个选项。有人可以帮忙管理这部分吗?
我最好的猜测是添加颁发转换规则-->转换传入声明,因为我已经检查了依赖方和应用程序组的访问控制策略和属性,并且没有找到任何可以提及使用的声明提供者信任或身份验证方法的地方。
答案1
从这:
通过依赖方 (RP) 配置
RP 是一个应用程序,例如 Salesforce。
您可以将 RP 映射到 IDP。
例如,RP A 的所有用户都将使用 Fabrikam IDP 进行身份验证。
命令是:
设置 AdfsRelyingPartyTrust -TargetName "RP A" -ClaimsProviderName @("Fabrikam","Active Directory")
答案2
nzpcmad 的回答解释了如何为依赖方进行设置,也可以使用以下命令为应用程序组应用程序进行同样的设置
Set-AdfsWebApiApplication -TargetName "Web SPA" -ClaimsProviderName @("Fabrikam","Active Directory")
其中“Web SPA”是来自应用程序组的应用程序,而 Fabrikam 和 Active Directory 是声明提供程序。
我无法为所有应用程序组进行设置,但对于单个应用程序可以进行设置,如果有人可以为应用程序组进行设置,请添加答案。