ADFS 2.0 - Wie blockiere ich den Zugriff auf meine RP für einen bestimmten Aussteller?

Question

Ich habe derzeit zwei vertrauende Parteien (RP) auf meinem Server adfs 2.0 konfiguriert. Ich habe auch zwei Claims Provider Trusts. Ich möchte einfach den Zugriff auf den ersten RP einschränken, wenn der Benutzer dem Anspruchsprovider 1 angehört.

Gibt es eine Claim-Regel, die ich einreichen könnte, die mich den Aussteller des Benutzers untersuchen lassen und dann Zugriff gewähren würde oder nicht?

Ich frage mich auch, ob dieses Verhalten in einer SSO-Infrastruktur sogar akzeptabel ist. Sollte ich zwei Instanzen von ADFS 2.0 bereitstellen, um dies zu unterstützen (einer vertraut dem Anspruchsanbieter 1, der andere nicht).

Vielen Dank für Ideen oder Design-Eingaben.

Answer 1

Ich weiß nicht, ob dies eine gute Idee ist, aber dies sollte funktionieren:

Fügen Sie eine benutzerdefinierte Regel auf die Ansprüche Anbieter Sie mit Inhalt so leugnen wollen:

=> issue(Type = "http://schemas.YOURDOMAINHERE/claims/AccessRP_X", Value = "Deny"); 

1. Dann auf der RP, bearbeiten Anspruch Regeln, wählen Ausgabe Autorisierungsregeln, Regel hinzufügen.
2. Verwenden Sie in diesem Dialogfeld die Vorlage Vorlage "Benutzer zulassen oder verweigern basierend auf auf einem eingehenden Anspruch".
3. Verwenden Sie für den eingehenden Anspruchstyp den gleichen Typ wie in die benutzerdefinierte Regel.
4. In eingehenden Wert Anspruch, schreiben Deny
5. und wählen Sie das Optionsfeld „Verweigern des Zugriffs auf Benutzer mit diesem eingehenden Anspruch“.
6. Presse

Hoffnung beenden dies für Sie arbeitet.