#claims-based-identity #adfs
#идентификация на основе утверждений #adfs
Вопрос:
Я настроил ADFS для предоставления сведений о группе AD для вошедшего в систему пользователя, возвращаемых в виде утверждений.
Язык утверждения: (извините за снимок экрана… схемы интерпретировались как URL, которые мне не разрешалось публиковать) Основные утверждения для возврата прав пользователя групп объявлений
Это возвращает группы, к которым пользователь принадлежит напрямую. Хотелось бы, чтобы ADFS возвращала эффективные разрешения для пользователя.
Пример:
Пользователь MyDomainBob принадлежит к группе floor3 Employees
Вся структура группы содержит группы Floor1Employees, Floor2Employees, Floor3Employees
При получении утверждений для MyDomain Bob … хотелось бы, чтобы возвращаемые группы были:
- Floor3Employees
- Построение всего
Веб-приложение, получающее утверждения от ADFS, вероятно, могло бы запросить AD, чтобы выяснить иерархию групп, но не хочет, чтобы веб-приложение напрямую взаимодействовало с AD.