Можно ли в ADFS ограничить набор идентификаторов пользователей OU, которые не должны разрешать аутентификацию?
Например: если у нас есть 2 OU (скажем, OU1 и OU2) в Active Directory, если пользователь из OU1 пытается войти в систему с экрана входа в ADFS, мы должны позволить ему пройти аутентификацию в AD, но если пользователи из OU2 попытаются войти в систему из на экране входа в ADFS мы не должны позволять аутентифицироваться и отображать сообщение об ошибке «Неверный идентификатор пользователя или пароль».
Спасибо,
Для этого перед правилами выдачи вам, вероятно, придется изменить IdpInitiatedSignOn.aspx и написать собственный код.
Думаю, вы уже знаете о правилах выдачи ... Но на случай, если кто-то еще не возражает против выдачи после аутентификации - или вы не нашли решения ...
Если у вас есть Exchange или другой способ (я сделал это с Powershell) создания динамических групп на основе OU http://technet.microsoft.com/en-us/library/bb123722.aspx вы можете объединить их в группы в зависимости от их OU. Обратите внимание, что если вы используете Exchange, у вас будут проблемы, если OU 1 или OU 2 являются дочерними друг друга ...
Затем вы можете (в утверждениях проверяющей стороны) создать «Правило авторизации выдачи», чтобы запретить доступ к определенному SID группы. Вы просто набираете группу, которую хотите отклонить, и после того, как они попытаются аутентифицироваться (правильный пароль или нет), им будет отказано. (Сообщение некрасивое.)
Они получат стандартное сообщение ADFS «Вы что-то неправильно сконфигурировали» со следующей информацией:
В доступе отказано
Название сервера
Возникла проблема с доступом к сайту. Попробуйте снова перейти на сайт. Если проблема не исчезнет, обратитесь к администратору этого сайта и укажите ссылочный номер для определения проблемы. У вас нет прав доступа к этому сайту.
Свяжитесь с вашим администратором для получения дополнительной информации. Номер ссылки: dddddd-71aa-26bb-dd34-e4569b8c04452