有没有办法创build一个声明,将返回所有组和超级用户组是一个用户是一个MemberOf的DN?
目前运行Windows 2012 R2 ADFS。
例:
我有一个像下面这样的组织结构。
GrandparentGroup ParentGroupA (memberOf=GrandparentGroup) ParentGroupB (memberOf=GrandparentGroup) GroupA (memberOf=ParentGroupA) GroupB (memberOf=ParentGroupA) GroupC (memberOf=ParentGroupB) GroupD (memberOf=ParentGroupB) UserA (memberOf=GroupA) UserB (memberOf=GroupA, memberOf=GroupB) 我想在UserAlogin时返回GroupA,ParentGroupA和GrandparentGroup的全DN。
如果build立一个索赔是不可能的,还有其他的是与ADFS处理这种情况?
这个问题的答案是在另一个论坛上回答的。
列出用户的所有组(包括嵌套组)的LDAPfilter是:
(成员:1.2.840.113556.1.4.1941:=
例如:(成员:1.2.840.113556.1.4.1941:= CN = Alice,OU = Accounts,DC = contoso,DC = com)
现在,它是如何转化为索赔规则并最终成为索赔的?首先,我创build了2个索赔定义。 一个名为UserDN的用户名为http://contoso.com/myclaims/UserDN和MemberOfDN,用户名为http://contoso.com/myclaims/MemberOfDN 。 您猜想第一个会收到用户的DN,第二个是该用户所属成员的所有DN。
完整的写在这里可以find: 答案 。