Назад | Перейти на главную страницу

Получение вложенных групп пользователей в ADFS

Попытка получить все группы и вложенные группы для пользователя при аутентификации с помощью ADFS

в основном у меня есть такая структура

если я добавлю Group1 и group3 моему пользователю, я бы хотел вернуться

У меня есть этот запрос

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/role"), query = ";tokenGroups;{0}", param = c.Value);

но он возвращает только group1, group3

Ты пробовала:

Создайте новое правило, выберите «Отправить атрибуты LDAP как утверждения». Выберите Active Directory в качестве хранилища атрибутов и выберите атрибут LDAP «Группы маркеров - неквалифицированные имена» и тип утверждения как «Группа».

Это должны отправить все группы. Обратите внимание, что ваш администратор ADFS НЕ должен позволять вам выполнять подобные запросы, особенно в больших средах. Тот, кто когда-либо писал приложение, также может быть немного раздражен, если возвращаются большие наборы данных (ничто не говорит о том, что приложение воняет, как ожидание 5 минут для анализа списка xml).