我们需要根据Active Directory员工ID属性和OU成员资格的组合,将ADFS 4.0的声明传递给依赖方。我认为最佳实践可能是使用安全组成员身份,但是在我们的情况下,组的设置不完全正确,因此有此需要。
例如,如果OU=SAXTechs,DC=london,DC=fabrikam,DC=com OU中有一个员工ID为VX224400(employeeId AD属性设置为VX224400)的人,则应将索赔“ LondonSAXTechs”添加到要传递给的role索赔清单中RP。
换句话说,以下应在RP方面的权利要求清单中:
http://schemas.microsoft.com/ws/2008/06/identity/claims/role |LondonSAXTechs
不确定如何使用claims rule language执行此操作。任何帮助表示赞赏。
您想要使用令牌进行的声明不依赖于员工ID。正如您已经提到的:“然后,将索赔“ LondonSAXTechs”添加到传递给RP的角色索赔列表中。”同样,您提到的OU的示例可能会有所不同。伦敦OU内也可以有OU。现在为此要求创建规则并不难,但是输入应该是恒定的。为了进一步解释它,如果我们为您的示例修剪最后两个值,您将获得预期的结果。但是,如果伦敦内部还有一个OU,则不会正确生成Claim。