我目前在我的 adfs 2.0 服务器上配置了两个依赖方 (RP)。我还有两个索赔提供者信托。如果用户属于声明提供者 1,我只想限制对第一个 RP 的访问。
是否有可以让我检查用户的发行人然后授予访问权限的声明规则?
我还想知道这种行为在 SSO 基础架构中是否可以接受。我是否应该部署两个 ADFS 2.0 实例来支持这一点(一个信任声明提供程序 1,而另一个不信任)。
感谢您的任何想法或设计输入。
问问题
999 次
1 回答
1
我不知道这是否是个好主意,但这应该可行:
向您要拒绝的声明提供程序添加自定义规则,内容如下:
=> issue(Type = "http://schemas.YOURDOMAINHERE/claims/AccessRP_X", Value = "Deny");
- 然后在 RP 上,编辑声明规则,选择颁发授权规则,添加规则。
- 在对话框中,使用模板“根据传入声明允许或拒绝用户”。
- 对于传入声明类型,请使用与自定义规则中相同的类型。
- 在传入的声明值中,写拒绝
- 并选择单选按钮“拒绝访问具有此传入声明的用户”。
- 按完成
希望这对你有用。
于 2011-02-01T11:36:39.280 回答