WindowsDeviceGroup申请

Question

ADFS2016支持一个新的声明类型"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup“，其中包含Windows设备组SID。如何在支持索赔的简单ASP.Net应用程序上强制转换索赔？我使用的是VS 2015，.Net 4.6。从ADFS获取此声明类型及其值的最低要求是什么，以便我可以使用它。任何代码片段都将受到高度赞赏。

我需要帮助来获得代码，可以做这样的事情，但对于Windows设备-

ClaimType - http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup，ClaimValue -S-1-21-5-xxxx-xyyyy zzz.

其中S-1-21-5-xxxx-xyyyy-zzzzzz是计算机所属组的SID。另外，此声明类型是否有可能与ADFS 2012R2一起使用？

Answer 1

这使用作为WS2012活动目录的一部分发布的复合身份验证模式。有关详细信息，请参阅https://www.microsoft.com/en-us/download/confirmation.aspx?id=36830。查找复合身份验证部分。然后，您需要通过修改ADFS的"Active Directory“的声明提供程序信任来传递必要的声明。现在，您有了下游应用程序可以使用的声明。

请注意，这是通过Kerberos实现的。因此，只有当客户端位于公司网络内，且视线指向正确启用的域控制器时，此用例才会亮起。

谢谢//Sam (@MrADFS)