У нас есть двустороннее доверие к нашей среде Active Directory, чтобы облегчить миграцию пользователей из «Домена X» в «Домен A».
У нас есть несколько приложений, указывающих на ферму ADFS, которая использует удостоверения в «Домене A».
В течение этого периода совместного проживания пользователи пытаются пройти аутентификацию на нашем сервере ADFS с помощью своей идентичности «Домен X». Что не работает на стороне приложения. (приложение знает только xxx @ domainA). SamAccountName полностью различаются между доменом A и доменом X. Я попытался запретить аутентификацию с помощью «правил авторизации выдачи» в трастах Relaying Party, но пользователи остаются аутентифицированными в нашем ADFS, а приложение показывает только сообщение об ошибке SAML.
Чтобы избежать путаницы, я хочу явно запретить аутентификацию в ADFS для домена, отличного от домена A. Возможно ли это?
Для записи, вот пробное правило запрещения: существует ([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==" SID OF DOMAINX \ Domain Users "]) => проблема (Type ="http://schemas.microsoft.com/authorization/claims/deny", Value =" true ");
Спасибо