ADFS - Auf AD-Gruppe beschränken

10

Ich habe gerade einen ADFS-Server implementiert, um ein Chat-Tool eines Drittanbieters über SAML 2.0 mit unserem Active Directory zu verbinden.

Bisher funktioniert alles einwandfrei, aber es gibt ein kleines Problem: Sobald sich ein Benutzer anmeldet, erstellt das Chat-Tool automatisch ein Konto für ihn. Das ist ein Problem, da jedes Konto Gebühren verursacht.

Gibt es eine Möglichkeit, die ADFS-Verwendung auf eine AD-Gruppe zu beschränken?

Hardmod
quelle

Antworten:

18

Dies kann durch Hinzufügen einer sogenannten Ausgabeautorisierungsregel erfolgen .

Schritt für Schritt:

  • Öffnen Sie das AD FS Management Center
  • Erweitern Sie Vertrauensbeziehungen
  • Wählen Sie Vertrauensstellungen für vertrauende Parteien aus
  • Klicken Sie mit der rechten Maustaste auf die gewünschte Vertrauensstellung
  • Klicken Sie auf Anspruchsregeln bearbeiten
  • Gehe zu der Autorisierungsregeln Ausgabe Registerkarte
  • Löschen Sie die Standardregel Zugriff auf alle Benutzer zulassen
  • Klicken Sie auf Regel hinzufügen
  • Wählen Sie Benutzer basierend auf einem eingehenden Anspruch zulassen oder verweigern aus
  • Eingehender Anspruchstyp, wählen Sie Gruppen-SID aus
  • Klicken Sie unter Eingehender Anspruchswert auf Durchsuchen
  • Wählen Sie die gewünschte Gruppe aus
  • Sie sind fertig
Hardmod
quelle