在ADFS中,是否可以限制OU的用户ID不应允许进行身份validation?
例如:如果我们在Active目录中有两个OU(比如说OU1和OU2),如果OU1的用户试图从ADFSlogin屏幕login,我们应该允许他对AD进行身份validation,但是如果OU2的用户试图从ADFSlogin屏幕,我们不应该允许authentication并显示错误消息“无效的用户ID或密码”。
谢谢,
在颁发规则之前这样做您可能需要修改IdpInitiatedSignOn.aspx并编写一些自定义代码。
猜猜你已经知道颁发规则…但是如果别人不介意authentication之后发出 – 或者你还没有find解决scheme…
如果您使用Exchange或其他方式(我已经使用Powershell完成了这项工作)构build基于OU的dynamic组http://technet.microsoft.com/en-us/library/bb123722.aspx,您可以根据他们的OU。 注意,如果您使用Exchange,您将遇到问题,如果OU 1或OU 2是彼此的孩子…
然后,您可以(在依赖方声称)创build一个“颁发授权规则”来拒绝访问特定的组SID。 你只要打你想拒绝的组,然后他们尝试进行身份validation(正确的密码或否),他们会被拒绝。 (这个消息不漂亮。)
他们会看到标准的“你错误地configuration了某些东西”的ADFS消息,并带有以下信息:
拒绝访问
服务器名称
访问该网站时出现问题。 尝试再次浏览到该网站。 如果问题仍然存在,请联系本网站的pipe理员并提供参考号码以确定问题。 您无权访问此网站。
联系您的pipe理员以获取更多信息 参考号码:dddddd-71aa-26bb-dd34-e4569b8c04452