ADFS - Restringir al grupo de AD

11

Acabo de implementar un servidor ADFS para conectar una herramienta de chat de terceros con nuestro Active Directory a través de SAML 2.0.

Hasta ahora todo funciona bien, pero hay un pequeño problema: tan pronto como un usuario inicia sesión, la herramienta de chat crea una cuenta para él automáticamente. Eso es un problema porque cada cuenta causa tarifas.

¿Hay alguna forma de restringir el uso de ADFS a un grupo de AD?

hardmod
fuente

Respuestas:

19

Esto se puede hacer agregando una llamada Regla de Autorización de Emisión .

Paso a paso:

  • Centro de administración de AD FS abierto
  • Ampliar las relaciones de confianza
  • Seleccione Fideicomisos confiables para fiestas
  • Haga clic derecho en la confianza requerida
  • Haga clic en Editar reglas de reclamo
  • Ir a la pestaña Reglas de autorización de emisión
  • Eliminar la regla de permiso de acceso predeterminado para todos los usuarios
  • Haga clic en Agregar regla
  • Seleccione Permitir o denegar usuarios en función de un reclamo entrante
  • Tipo de reclamo entrante, seleccione Grupo SID
  • Haga clic en Examinar en valor de reclamo entrante
  • Seleccione el grupo requerido
  • Ya terminaste
hardmod
fuente