ADFS - filtering van AD groups - SAML - Serversoftware en clouddiensten

Vraag

zaterdag 27 juni 2020 00:48

Acties:

0 Henk 'm!

Dutch2007

Topicstarter

Mijn vraag:

Filtering nodig welke AD groupen doorgestuurd worden naar 3rd party - relying party trust
...

- Server 2016 ADFS (ADFS 4.0)
- Microsoft Active Directory
...

- Relying Party Trust aangemaakt (Issuance policy) en hierin de LDAP attributed gedefinieerd (waaronder username, e-mail adres en AD groupen.
- 2e claim rule aangemaakt die aangeeft dat ik wil gaan filtering op AD usergroups
- 3e claim rule aangemaakt die aangeeft welke groupen ik graag wil doorsturen.

In ADFS language kom ik dan uit op de volgende 3 rules:

1:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "displayName", "department", "memberOf"), query = ";userPrincipalName,displayName,department,tokenGroups;{0}", param = c.Value);

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://schemas.xmlsoap.org/claims/Group"), query = ";memberOf;{0}", param = c.Value);

c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value =~ "(?i)gl-zpa-"]
=> issue(claim = c);

Gebruikte bron om tot bovenstaande te komen:

https://social.technet.mi...bership-s-as-a-claim.aspx

Issue:

Als ik kijk naar in het admin panel van de 3e partij zie ik nog steeds alle AD groepen doorgestuurd worden.

Reageer