ADFS 2.0 -如何阻止特定颁发者访问我的RP

Question

我目前在我的adfs 2.0服务器上配置了两个依赖方(RP)。我还有两个提供者信托的声明。如果用户属于claims provider 1，我只想限制对第一个RP的访问。

有没有一个声明规则可以让我检查用户的颁发者，然后授予访问权限？

我还想知道这种行为在SSO基础设施中是否可以接受。我是否应该部署ADFS2.0的两个实例来支持这一点(一个信任声明提供者1，而另一个不信任)。

感谢您的任何想法或设计投入。

Answer 1

我不知道这是不是一个好主意，但这应该是可行的：

向您要拒绝的声明提供程序添加一个自定义规则，内容如下：

 => issue(Type = "http://schemas.YOURDOMAINHERE/claims/AccessRP_X", Value = "Deny");

1. 然后在RP上，编辑索赔规则，选择发布授权规则，添加规则。
2. 在对话框中，使用模板“根据传入的声明允许或拒绝用户”。
3. 对于传入声明类型，请使用与自定义规则中相同的类型。在传入的声明值中，写入Deny
4. ，然后选择单选按钮"Deny access to users with this incoming claim".
5. Press finish

希望这对你有用。