active-directory - 如何根据 employeeId 属性和 OU 成员资格在 ADFS 4 中添加自定义声明
问题描述
我们需要根据 Active Directory 员工 ID 属性和 OU 成员身份的组合将 ADFS 4.0 的声明传递给依赖方。我想最佳实践可能是使用安全组成员身份,但在我们的案例中,组的设置并不完全正确,因此需要。
例如,如果OU=SAXTechs,DC=london,DC=fabrikam,DC=comOU 中存在员工 ID 为 VX224400(employeeId AD 属性设置为 VX224400)的人员,则应将声明“LondonSAXTechs”添加到传递给 RP的角色声明列表中。
换句话说,以下内容应在 RP 方的声明列表中:
http://schemas.microsoft.com/ws/2008/06/identity/claims/role | 伦敦SAXTechs
不完全确定如何使用声明规则语言来做到这一点。任何帮助表示赞赏。
解决方案
您想要的令牌中的声明不依赖于员工 ID。正如您所提到的 - “那么声明“LondonSAXTechs”应该添加到传递给 RP 的角色声明列表中。此外,您提到的 OU 示例也可能有很大差异。伦敦 OU 内也可以有 OU。现在为这个要求创建一个规则并不难,但输入应该是恒定的。为了进一步解释,如果我们为您的示例修剪最后两个值,您将获得预期的结果。但是如果在 london 内部还有一个 OU,则不会正确生成声明。