Versions Compared

Old Version 52

changes.mady.by.user Teun Fransen

Saved on

compared with

New Version 53

changes.mady.by.user Teun Fransen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Kies op de 'ADFS 2.0-server Start' -> 'All programs' -> 'Administrative Tools' -> ADFS 2.0 Management om de ADFS 2.0 configuratieapplicatie te starten.
  2. 'Selecteer Service' -> 'Claims Descriptions' in de linkerkolom van het overzichtsvenster.
  3. Klik in de rechterkolom onder 'Actions' op 'Add Claim Description...'.
  4. Vul de 'Display name' met 'schacHomeOrganization' en de 'Claim identifier' met 'urn:mace:terena.org:attribute-def:schacHomeOrganization'.
  5. Plaats een vinkje voor onderstaande 2 opties:
    • 'Publish this claim ... Service can accept'.
    • 'Publish this claim ... Service can send'.
  6. Kies 'OK'.
  7. Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
  8. Selecteer 'SURFconext' en kies voor 'Edit Claim Rules...'.
  9. Kies 'Add Rule...'.
  10. Kies 'Send Group Membership as a Claim' en kies 'Next'.
  11. Vul in:
    • 'Claim rule name' met 'schacHomeOrganization'.
    • 'User's group' met 'Domain Users'.
    • 'Outgoing claim type' met 'schacHomeOrganization'.
    • 'Outgoing claim value' met de gewenste waarde.
      kies 'OK'.
      Image Modified
Note

work in progress

Toevoegen eduPersonAffiliation

Met het eduPersonAffiliation-attribuut kan kun je de relatie van de gebruiker met de instelling aangegeven wordenaangeven. Deze relatie wordt bepaald aan de hand van een groepslidmaatschap. Het is mogelijk om Je kunt meerdere waarden als eduPersonAffiliation mee te geven meegeven door meerdere eduPersonAffiliation claims toe te voegen. Ook is het mogelijk om kun je meerdere eduPersonAffiliation claim claims dezelfde waarde te geven.

Het Voor het toevoegen van een eduPersonAffiliation claim gaat als volgtmoet je de volgende stappen doorlopen:

  1. Kies op de AD FS 'ADFS 2.0-server Start' -> 'All programs' -> 'Administrative Tools' -> AD FS 'ADFS 2.0 Management' om de AD FS ADFS 2.0 configuratieapplicatie te starten.
  2. Selecteer 'Service' -> 'Claims Descriptions' in de linker kolom linkerkolom van het overzichtsvenster.
  3. Klik in de rechterkolom onder 'Actions' op 'Add Claim Description...'.Image Removed
  4. Vul de 'Display name' met "'eduPersonAffiliation" ' en de "'Claim identifier" ' met "'urn:mace:dir:attribute-def:eduPersonAffiliation"'.
    Image Added
  5. Plaats Enable beide opties (plaats een vinkje voor )onderstaande 2 opties:
    • 'Publish this claim ... Service can accept'.
    • 'Publish this claim ... Service can send'.
  6. Kies 'OK'.
  7. Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
  8. Selecteer SURFconext en kies voor "'Edit Claim Rules...'."
  9. Kies "'Add Rule..."'.
  10. Kies "'Send Group Membership as a Claim" ' en kies "Next"Image Removed'Next'.
  11. Vul in:
        "
      • 'Claim rule name
      "
      • ' met bijvoorbeeld
      "
      • 'eduPersonAffiliation-student
      ",
        "
      • '.
      • 'User's group
      "
      • ' met bijvoorbeeld
      "
      • 'Students
      "
      • '.
        "
      • 'Outgoing claim type
      "
      • ' met
      "
      • 'eduPersonAffiliation
      "
      • '
        "
      • 'Outgoing claim value
      "
      • ' met de gewenste waarde (bijvoorbeeld 'student')

      kies OK.
      • .
        Kies 'Finish'.
        Image Added
    • Herhaal Volg stap 7 t/m 11 om als je meerdere affiliations toe te voegen wilt toevoegen, zoals bijvoorbeeld 'employee:
      Image Removed'.

Beperken gebruik op basis van

...

groepslidmaatschap

Met de standaard installatie standaardinstallatie van AD FS ADFS 2.0 kunnen alle gebruikers binnen de Active Directory gebruik maken gebruikmaken van de federatieve koppeling. Dit is dus inclusief alle Service Accounts. Door het instellen van Als je 'Issuance Authorization Rules' kan instelt, kun je het gebruik gelimiteerd worden beperken tot leden van 1 of meerdere groepen of op basis van attributen (Claimsclaims) van de gebruikers.

Het volgend voorbeeld beperkt het gebruik tot leden van 1 bepaalde groep ' SURFconext-gebruikers'.

  1. Kies op de AD FS ADFS 2.0-server 'Start' -> 'All programs' -> 'Administrative Tools' -> AD FS 'ADFS 2.0 Management' om de AD FS ADFS 2.0 configuratieapplicatie te starten.
  2. Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
  3. Selecteer 'SURFconext' en kies voor "'Edit Claim Rules...'."
  4. Ga naar het tabblad: "'Issuance Authorization Rules"Image Removed'.
  5. Kies "'Add Rule...'."
    Image Removed Image Added
  6. Kies "'Permit or Deny Users Based Base on Incoming Claim" ' en kies "'Next"'.
    Image Removed Image Added
  7.  Vul Vul in:
        "
      • 'Claim rule name
      "
      • ' met bijvoorbeeld
      "
      • 'SURFconext gebruikers
      ",
        "
      • '.
      • 'Incoming claim type
      "
      • ' met bijvoorbeeld
      "
      • 'Group SID
      "
      • '.
        "
      • 'Incoming claim value
      "
      • ' browse naar de
      gebruikers groep
      • gebruikersgroep (bijvoorbeeld
      "
      • 'SURFconext
      Gebruikers"
      • gebruikers').
       
      • Zorg dat
      "
      • je 'Permit access to users within this incoming claim
      " geselecteerd is
      kies Finish.
      • ' selecteert.
        Kies 'Finish'.
        Image Added
    • De standaard Rule "'Permit Access to All Users" kan verwijderd worden ' kun je verwijderen door deze te selecteren en knop "op 'Remove Rule..." in ' te drukkenklikken.
    • Image Removed
      Bevestig het verwijderen met "'Yes"'.
      Image Removed Image Added
    • Kies "OK"'OK'.
      Image Added