我们的 ADFS 不再能够从 Active Directory 中检索某些用户的角色信息。此问题出现时发生了两件事。第一件是 ADFS 锚声明类型从 WindowsAccountName 更改为 UPN。第二件是我们的主域控制器在新硬件上重建。
我们使用的声明规则如下:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/role"), query = ";tokenGroups;{0}", param = c.Value);
对于某些用户,这会按预期为每个组成员身份发出角色声明,但对于其他用户,不会发出任何角色声明,就好像 tokenGroups 属性为空一样。我们已经验证了组成员身份是否到位,甚至检查了 tokenGroups 属性是否由不同的应用程序填充。Active Directory 中的其他属性已正确检索和发布,但是所有基于 tokenGroup 的查询或 memberOf 都无法返回信息。
什么可以阻止从 Active Directory 中检索特定属性并且仅适用于某些用户?
答案1
您是否使用另一个域管理员帐户或使用 adfs 服务帐户测试了 tokengroups 查询?
如果 adfs 服务帐户没有根据用户帐户上定义的权限执行组成员身份查询所需的权限,您可能会发现它只适用于一部分用户。
将 adfs 服务帐户添加到 Windows 授权访问组。请参阅https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#windows-authorization-access-group了解该团体的更多详细信息。