ADFS - 발급 권한 룰셋 오류

Question

우리 시스템에는 다른 도메인에서 등록한 사용자가 있습니다 (해당 사용자의 메일 주소는 @gmail.com, @ outlook.com, @ yahoo.com). 사용자가 도메인을 기반으로 RP에 액세스하는 것을 제한해야한다는 요구 사항이 있습니다. 이 설정을 위해, 나는 아래의 규칙

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Value =~ "gmail.com$"] 
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true"); 

그래서하지 않았다 내가 발행 권한 부여 규칙 탭을 통해 이메일 주소 주장을 전달했다

로 (단지 특정 도메인의 사용자를 허용하는) ADFS에서 발급 권한 부여 규칙을 구성하려 전체 프로세스 (단계 1, 2, 및주고 룰 세트에 대해 실행 한 후

(청구항 파이프 섹션에 상기 실행 결과를 송신 아래) technet link에서 언급 권한 규칙 집합에 입력 초기화 3), 새로 제기 된 발신 클레임 (출력 클레임 세트의 내용)은 클레임 파이프 라인의 다음 룰 세트에 대한 입력으로 sed. 다음 그림과 같이 하나의 룰 세트의 결과에서 다른 룰 세트의 입력으로 클레임을 보낼 수 있습니다.

하지만 인증이 작동하지 않는 것 같습니다.

Answer 1

첫 번째 탭 (발급 변환 규칙)에서 구성된 소유권 주장이 두 번째 탭 (발급 권한 부여 규칙)으로 전달되지 않습니다.

다음과 같이 두 번째 탭 (mapaddresses -> emailaddress)에서 다시 프로세스를 반복해야합니다.

이제 사용자 정의 규칙 완벽하게 작동합니다.

수용 기준에 더 많은 전자 메일 도메인을 추가해야하는 경우 "|" 기호 :

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Value =~ "yahoo.com$|gmail.com$"] 
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");