ADFS 2.0 - 如何阻止訪問我的RP對於特定的發行者

Question

我目前在我的adfs 2.0服務器上配置了兩個依賴方（RP）。我也有兩個索賠提供商信託。我只是想限制訪問第一個RP如果用戶屬於索賠提供商1.

是否有一個索賠規則，我可以把這讓我檢查用戶的發行人，然後授予訪問？

我也想知道這種行爲在SSO基礎架構中是否可以接受。我應該部署兩個ADFS 2.0實例來支持這個（一個信任聲明提供程序1，而另一個不信任聲明提供程序）。

感謝您的任何想法或設計輸入。

Answer 1

我不知道這是否是一個好主意，但是這應該工作：

添加自定義規則，你要拒絕像這樣內容的聲明提供：

=> issue(Type = "http://schemas.YOURDOMAINHERE/claims/AccessRP_X", Value = "Deny"); 

1. 然後在RP上編輯索賠規則， 選擇頒發授權規則， 添加規則。
2. 在對話框中，使用 模板「基於 的傳入聲明的許可或拒絕用戶」。
3. 對於傳入的 索賠類型，使用與自定義規則中的 相同的類型。
4. 在傳入聲明 值，寫拒絕
5. 並選擇 單選按鈕「拒絕這一傳入聲明獲得用戶 」。
6. 印後加工

希望這對你有用。