我们需要根据 Active Directory 员工 ID 属性和 OU 成员身份的组合将 ADFS 4.0 的声明传递给依赖方。我想最佳实践可能是使用安全组成员身份,但在我们的案例中,组的设置并不完全正确,因此需要。
例如,如果OU=SAXTechs,DC=london,DC=fabrikam,DC=com
OU 中存在员工 ID 为 VX224400(employeeId AD 属性设置为 VX224400)的人员,则应将声明“LondonSAXTechs”添加到传递给 RP的角色声明列表中。
换句话说,以下内容应在 RP 方的声明列表中:
http://schemas.microsoft.com/ws/2008/06/identity/claims/role | 伦敦SAXTechs
不完全确定如何使用声明规则语言来做到这一点。任何帮助表示赞赏。