在ADFS4.0中为OpenID连接客户端启用访问策略

Question

AD支持OpenID连接协议对用户进行身份验证。AD支持WebAPI应用程序的访问策略，但不支持服务器应用程序，至少我无法找到。

是否可以为服务器应用程序定义访问策略？业务场景非常简单:只允许来自定义组的用户对给定的特定客户端id进行身份验证。

如果企业使用AD DS部署AD FS，并部署多个应用程序(每个应用程序分别注册，从而获得唯一的客户端id和客户端机密)，则可以使用该应用程序允许/不允许用户对给定(注册)客户端(依赖方)的ADFS进行身份验证。

Answer 1

似乎可以通过在同一个应用程序组中定义两个应用程序来实现这一点：

1. 服务器应用程序，它除了client secret之外还有client id。
2. WebAPI应用程序，可以为该应用程序定义访问策略。

为了完成这项工作，需要将依赖方标识符(服务器应用程序的client id )分配给WebAPI标识符，并确保WebAPI应用程序的“客户端权限”包含服务器应用程序。

如果未成功评估访问策略，则依赖方(请求身份验证的应用程序)将收到一条access_denied消息。

申请组：

​

服务器应用程序：

​

WebAPI应用程序：

​