Есть ли способ создать заявку, которая будет возвращать DN всех групп и супергрупп, в которых пользователь является MemberOf?
В настоящее время используется Windows 2012 R2 ADFS.
Пример:
У меня есть следующая структура групп.
GrandparentGroup
ParentGroupA (memberOf=GrandparentGroup)
ParentGroupB (memberOf=GrandparentGroup)
GroupA (memberOf=ParentGroupA)
GroupB (memberOf=ParentGroupA)
GroupC (memberOf=ParentGroupB)
GroupD (memberOf=ParentGroupB)
UserA (memberOf=GroupA)
UserB (memberOf=GroupA, memberOf=GroupB)
Я хочу вернуть полные DN GroupA, ParentGroupA и GrandparentGroup, когда UserA входит в систему.
Если создание заявки невозможно, можно ли было обработать этот сценарий с помощью ADFS?
Ответ на этот вопрос был дан на другом форуме.
Фильтр LDAP для перечисления всех групп (включая вложенные группы) пользователя:
(участник: 1.2.840.113556.1.4.1941: =
Так, например: (member: 1.2.840.113556.1.4.1941: = CN = Alice, OU = Accounts, DC = contoso, DC = com)
Теперь, как это преобразовать в правило утверждения и, в конечном итоге, в утверждение ... Прежде всего, я создаю 2 определения утверждений. Один называется UserDN с идентификатором http://contoso.com/myclaims/UserDN и MemberOfDN с идентификатором http://contoso.com/myclaims/MemberOfDN. Вы догадались, что первый получит DN пользователя, а второй - все DN всех членов, членом которых является пользователь.
Полное описание можно найти здесь: ответ.