我有一个正在使用ADFS的Windows Server 2016。我点击了https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-to-authenticate-users-stored-in-ldap-directories上的链接,将LDAP(AD LDS)配置为声明提供者信任。接下来,我想配置应用程序组或依赖方以使用特定的声明提供程序。例如,我想将AD用于一个应用程序,将LDS用于另一个应用程序,并将两者都用于第三应用程序。目前,我对所有应用程序都有这两种选择。谁能帮助管理这部分?
我最好的猜测是添加签发转换规则->转换传入的声明,因为我已经检查了依赖方和应用程序组的访问控制策略和属性,并且没有发现可以提及使用的声明提供者信任的任何内容或身份验证方法。
答案 0 :(得分:0)
通过遵循关于家庭领域发现定制的this文档,我能够为每个依赖方或每个应用程序设置特定的索赔提供者。下面是实现此目的的Powershell脚本。
对于依赖方(Ws-Fed)
Set-AdfsRelyingPartyTrust -TargetName "RP Name" -ClaimsProviderName @("Provider 1","Active Directory")
用于应用程序(SAML)
Set-AdfsWebApiApplication -TargetName "Web App Name" -ClaimsProviderName @("Provider 1","Active Directory")
在这里-TargetName之后提供您的依赖方或申请的名称,并在括号内提供索赔提供者名称的列表
此处要注意的是,您不是为应用程序组设置声明提供程序,而是为该组中的各个应用程序设置声明提供程序,因此请相应地使用名称。