Reivindicação do ADFS para nivelar grupos e retornar DN completo

Question

Reivindicação do ADFS para nivelar grupos e retornar DN completo

#1 resposta do (1 votos)

3

Existe uma maneira de criar uma declaração que retornará o DN de todos os grupos e supergrupos de que um usuário é um MemberOf?

Atualmente executando o ADFS do Windows 2012 R2.

Exemplo:

Eu tenho uma estrutura de grupos como o seguinte.

GrandparentGroup
ParentGroupA (memberOf=GrandparentGroup)
ParentGroupB (memberOf=GrandparentGroup)
GroupA (memberOf=ParentGroupA)
GroupB (memberOf=ParentGroupA)
GroupC (memberOf=ParentGroupB)
GroupD (memberOf=ParentGroupB)
UserA (memberOf=GroupA)
UserB (memberOf=GroupA, memberOf=GroupB)

Eu quero retornar os DNs completos do GroupA, ParentGroupA e GrandparentGroup quando o UserA fizer login.

Se a criação de uma declaração não for possível, existem outras para lidar com esse cenário com o ADFS?

active-directory adfs

por Travis Stafford 20.03.2015 / 18:04

1 resposta

Tags active-directory adfs

Servidor de sincronização China / Fora da China HAProxy mas ainda único ponto de falha

score 1 · Accepted Answer

A resposta a esta pergunta foi respondida em outro fórum.

The LDAP filter to list all groups (included nested groups) of a user is:

(member:1.2.840.113556.1.4.1941:=

So for example: (member:1.2.840.113556.1.4.1941:=CN=Alice,OU=Accounts,DC=contoso,DC=com)

Now how does it translate into a claim rule and ultimately a claim... First of all, I create 2 claim definitions. One called UserDN with the id http://contoso.com/myclaims/UserDN and MemberOfDN with the id http://contoso.com/myclaims/MemberOfDN. You guessed that the first one will receive the DN of the user and the second all the DN of al members the user is a member of.

O artigo completo pode ser encontrado aqui: responder .