Query AD Group, чтобы получить пользовательский атрибут на нем

Question

Я пытаюсь получить пользовательский атрибут группы в правиле пользовательской претензии.

Проблема неважно, что я делаю, она всегда запрашивает пользователя.

Вот как мой заказ Претензия Правило выглядит следующим образом:

// Правило, чтобы получить все группы пользователей является часть:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] 
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/claims/Group"), query = ";tokenGroups;{0}", param = c.Value); 

// Правила для извлечения URL-адрес атрибута, который находится на группе ,

c:[Type == "http://schemas.xmlsoap.org/claims/Group"] 
=> add(store = "Active Directory", types = ("http://temp/urlsOnGroup"), query = ";url;{0}", param = c.Value); 

Когда это выполняется, я вижу ошибку в журнале событий AD FS Server, в котором говорится, что он пытается найти пользователь с ИмяГруппой.

Как я указать это правило так, что последний запрос происходит от имени группы вместо пользователя

Сообщение об ошибке:

Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: 
POLICY0018: Query ';url;{0}' to attribute store 'Active Directory' failed: 
'POLICY3826: User name 'GroupName' in LDAP query ';url;GroupName' is not in the 
required 'domain\user' format. POLICY3824: The LDAP query to the Active 
Directory attribute store must have three parts separated by semicolons. The 
first part is the LDAP query filter, the second part is a comma-separated list 
of LDAP attribute names, and the third part is the user name in 'domain\user' 
format.'. ---> 
Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.AttributeStoreQueryF 
ormatException: POLICY3826: User name 'GroupName' in LDAP query ';url;GroupName' 
is not in the required 'domain\user' format. POLICY3824: The LDAP query to the 
Active Directory attribute store must have three parts separated by semicolons. 
The first part is the LDAP query filter, the second part is a comma-separated 
list of LDAP attribute names, and the third part is the user name in 
'domain\user' format. 

Я хочу, чтобы избежать написания Custom Attribute Store, если это возможно. Я уже это сделал, но я пытаюсь найти собственный способ повторного запроса групп безопасности AD.

Answer 1

Необходимый формат, например.

с: [Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ou "] => выпуск (магазин = "Active Directory", типы = (" http://schemas.company.co.nz/claims/guid"), запрос = «(НУ = {0}); ObjectGUID; домен \ пользователь ", param = c.Value);

«Домен» должен быть доменом для ADFS. «Пользователь» может быть любым.

Примечание правило бесплатной формы, поэтому может иметь ошибки формата, но вы получите идею!