我根据全局安全组的组成员身份创建了客户 ADFS 声明规则。 它工作顺利,但我们需要添加来自不同林的信任我们的用户。 因此,将全局组转换为域本地组,以便我们可以添加来自不同林的用户,但不知何故它不起作用,只有全局组起作用,而不是域本地组,即使用户来自同一域。 如果我们用于声明属性,有人可以帮助我获得 ADFS 不支持的正确解决方案或域本地组吗?
我们 Global Group 的当前设置如下(工作中) 发送令牌组:-
c:[类型==“http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”,发行者==“AD AUTHORITY”] => add(store = "Active Directory", types = ("corporate_groups"), query = ";tokenGroups;{0}", param = c.Value);
获取Token组:-
c:[类型==“corporate_groups”,值=~“.APP_Test.”] =>问题(类型=“http://schemas.microsoft.com/ws/2008/06/identity/claims/group”,值= c.Value);
注意:如果我访问此链接,则不适用于跨林信任用户。 https://social.technet.microsoft.com/wiki/contents/articles/13829.ad-fs-2-0-domain-local-groups-in-a-claim.aspx
• 您当然可以创建一条规则来发送组成员身份,作为 Windows Server 上 ADFS 中依赖方信任的声明。但为此,您需要确保用于登录 ADFS 服务器的用户 ID 应该是域管理员或本地系统管理员组的成员。此外,您还可以通过下面的文档链接来执行此操作。它指出您可以创建一个规则模板,用于通过 ADFS 服务器管理管理单元本身发送组成员身份作为声明。
• 如果您按照上述文档基于模板创建规则,它应该可以帮助您工作。另外,请确保参考并遵循以下文档,了解何时应使用团体会员资格作为申请规则:-
我在 ADFS 和域本地安全组方面遇到了同样的问题。您找到解决方案或找出此问题的根本原因了吗?