我已将ADFS配置为为作为声明返回的登录用户提供AD组信息。
声明语言: (抱歉屏幕截图...模式被解释为我不允许发布的网址) Basic claims to return AD groups user belongs to
这将返回用户直接所属的组。 希望ADFS为用户返回有效权限。
示例:
用户MyDomain \ Bob属于Floor3Employees组
Group EntireBuilding包含Floor1Employees,Floor2Employees,Floor3Employees
组获取MyDomain \ Bob的声明时...希望返回的组为:
从ADFS接收声明的Web应用程序可能会查询AD以确定组的层次结构,但希望避免Web应用程序直接与AD通信。
