我有一个我希望Cognito用户池用户和ADFS用户都可以访问的应用程序。但是,ADFS用户必须属于某个组才能访问该应用。如何执行此限制?
谢谢!
答案 0 :(得分:1)
我假设您将在ADFS中为AWS congnito创建一个依赖方,以用于身份提供程序(在本例中为ADFS)中的访问和应用程序配置。您将需要找到组的SID并手动修改声明规则,以限制此访问。您可以在本地Active Directory服务器上使用Powershell来获取要允许访问的组的SID。
Get-ADGroup-标识“您的论坛名称”
然后,您需要使用以下行将其包括在现有的索赔规则中。
&&存在([类型==“ http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid”,值=〜“”])
exists([Type ==“ http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid”,Value ==“”,Issuer =〜“ ^ AD AUTHORITY $”])=> issue(Type =“ http://schemas.microsoft.com / authorization / claims / permit“,值=” true“);
以上两个是示例,您可以根据ADFS上的依赖方配置使用这两个中的任何一个。