adfs - 在 ADFS 4.0 中为 OpenID Connect 客户端启用访问策略
问题描述
AD FS 支持用于对用户进行身份验证的 OpenID Connect 协议。AD FS 支持 WebAPI 应用程序的访问策略,但不支持服务器应用程序,至少我找不到。
是否可以为服务器应用程序定义访问策略?业务场景非常简单:只允许来自定义组的用户在给定特定客户端 ID 的情况下进行身份验证。
如果企业使用 AD DS 部署 AD FS 并部署多个应用程序(每个应用程序单独注册,从而获得唯一的客户端 ID 和客户端密码),这可用于允许/禁止用户对给定(注册)的 ADFS 进行身份验证客户(依赖方)。
解决方案
这似乎可以通过在同一个应用程序组中定义两个应用程序来实现:
- 服务器应用程序,
client secret除了client id - WebAPI 应用程序,您可以为其定义访问策略。
为了完成这项工作,您需要将依赖方标识符(client id服务器应用程序的)分配给 WebAPI 标识符,并确保 WebAPI 应用程序的“客户端权限”包含服务器应用程序。
如果访问策略未成功评估,则依赖方(请求身份验证的应用程序)将收到一条access_denied消息。
应用组:
服务器应用:
WebAPI 应用程序:
推荐阅读
- c++ - 如何在将 char 数组传递给 exec*() 系列函数后释放它们的内存
- linked-list - 64 位机器上每个节点的最小字节数是多少?
- r - 无法将值附加到 R 中的列表
- c# - 检查ResetPasswordToken是否有效的方法
- git - 如何在简单的 git flow 中合并修补程序分支
- autohotkey - 如何通过热字串发送 guid?
- scipy - 如何有效地将 scipy 稀疏矩阵转换为 sympy 稀疏矩阵?
- c - 当函数的返回类型不允许我这样做时,如何在 C 中返回错误代码?
- python - 另一个进程正在使用 Python PermissionError:
- javascript - 使用 NodeJS 在 SQL 数据库中查找具有最高编号且与 ID 匹配的行?