Я пытаюсь получить пользовательский атрибут группы в правиле пользовательской претензии.Query AD Group, чтобы получить пользовательский атрибут на нем
Проблема неважно, что я делаю, она всегда запрашивает пользователя.
Вот как мой заказ Претензия Правило выглядит следующим образом:
// Правило, чтобы получить все группы пользователей является часть:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/claims/Group"), query = ";tokenGroups;{0}", param = c.Value);
// Правила для извлечения URL-адрес атрибута, который находится на группе ,
c:[Type == "http://schemas.xmlsoap.org/claims/Group"]
=> add(store = "Active Directory", types = ("http://temp/urlsOnGroup"), query = ";url;{0}", param = c.Value);
Когда это выполняется, я вижу ошибку в журнале событий AD FS Server, в котором говорится, что он пытается найти пользователь с ИмяГруппой.
Как я указать это правило так, что последний запрос происходит от имени группы вместо пользователя
Сообщение об ошибке:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException:
POLICY0018: Query ';url;{0}' to attribute store 'Active Directory' failed:
'POLICY3826: User name 'GroupName' in LDAP query ';url;GroupName' is not in the
required 'domain\user' format. POLICY3824: The LDAP query to the Active
Directory attribute store must have three parts separated by semicolons. The
first part is the LDAP query filter, the second part is a comma-separated list
of LDAP attribute names, and the third part is the user name in 'domain\user'
format.'. --->
Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.AttributeStoreQueryF
ormatException: POLICY3826: User name 'GroupName' in LDAP query ';url;GroupName'
is not in the required 'domain\user' format. POLICY3824: The LDAP query to the
Active Directory attribute store must have three parts separated by semicolons.
The first part is the LDAP query filter, the second part is a comma-separated
list of LDAP attribute names, and the third part is the user name in
'domain\user' format.
Я хочу, чтобы избежать написания Custom Attribute Store
, если это возможно. Я уже это сделал, но я пытаюсь найти собственный способ повторного запроса групп безопасности AD.
Спасибо за ответ. Я переработал все это, поскольку запрос атрибута URL невозможен. (Это то, что мне сказала MS) – Asdfg