我希望我的ADFS 2012 R2从Active Directory中的特定位置发送组成员资格,我该怎么办?
我尝试了“将LDAP属性作为声明发送”,令牌组 - 不合格名称=>组,但这给了我用户所属的每个组。我只想要位于AD中某个路径的组(例如org / department / applications / demoapplication)
答案 0 :(得分:0)
OOTB,你不能这样做。
但是,您可以编写自己的custom attribute store,直接使用.NET AD API访问AD,并获得所需的组成员资格。
另请参阅How to create a Custom Attribute Store for Active Directory Federation Services 3.0。