Política de habilitación para el acceso en AD FS 4.0 para clientes de OpenID Connect

votos
1

AD FS soporta el protocolo OpenID Connect para la autenticación de usuarios. AD FS apoya las políticas de acceso para las aplicaciones del API web, pero no para aplicaciones de servidor, por lo menos no que yo pudiera encontrar.

¿Es posible definir la política de acceso para una aplicación de servidor? El escenario de negocio es muy simple: sólo permiten a los usuarios de un grupo definido para autenticar dan una ID de cliente específico.

Si una empresa despliega AD FS con AD DS y despliega varias aplicaciones (cada uno de ellos registrados por separado, obteniendo así una ID de cliente y el secreto de cliente única), esto podría ser utilizado para permitir / denegar a los usuarios de autenticación en la AD FS para un determinado (registrada) cliente (usuario de confianza).

Publicado el 10/05/2018 a las 19:30
fuente por usuario
En otros idiomas...                            


1 respuestas

votos
1

Parece ser que esto es posible mediante la definición de dos aplicaciones en el mismo grupo de aplicaciones:

  1. La aplicación de servidor, que tiene un client secretademás declient id
  2. La aplicación WebAPI, para lo cual se puede definir una política de acceso.

Con el fin de hacer que esto funcione, es necesario asignar el identificador de usuario de confianza (la client idde la aplicación de servidor) a los identificadores del API web y asegurarse de que los permisos de "cliente" de la aplicación WebAPI contienen la aplicación de servidor.

Si la política de acceso no se evalúa con éxito, el usuario de confianza (la autenticación que solicita la aplicación) recibirá un access_deniedmensaje.

grupo Aplicación: introducir descripción de la imagen aquí

aplicación de servidor: introducir descripción de la imagen aquí

WebAPI aplicación: introducir descripción de la imagen aquí

Respondida el 11/05/2018 a las 07:43
fuente por usuario

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more