...
- Kies op de 'ADFS 2.0-server Start' -> 'All programs' -> 'Administrative Tools' -> ADFS 2.0 Management om de ADFS 2.0 configuratieapplicatie te starten.
- 'Selecteer Service' -> 'Claims Descriptions' in de linkerkolom van het overzichtsvenster.
- Klik in de rechterkolom onder 'Actions' op 'Add Claim Description...'.
- Vul de 'Display name' met 'schacHomeOrganization' en de 'Claim identifier' met 'urn:mace:terena.org:attribute-def:schacHomeOrganization'.
- Plaats een vinkje voor onderstaande 2 opties:
- 'Publish this claim ... Service can accept'.
- 'Publish this claim ... Service can send'.
- Kies 'OK'.
- Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
- Selecteer 'SURFconext' en kies voor 'Edit Claim Rules...'.
- Kies 'Add Rule...'.
- Kies 'Send Group Membership as a Claim' en kies 'Next'.
- Vul in:
- 'Claim rule name' met 'schacHomeOrganization'.
- 'User's group' met 'Domain Users'.
- 'Outgoing claim type' met 'schacHomeOrganization'.
- 'Outgoing claim value' met de gewenste waarde.
kies 'OK'.
Note |
---|
work in progress |
Toevoegen eduPersonAffiliation
Met het eduPersonAffiliation-attribuut kan kun je de relatie van de gebruiker met de instelling aangegeven wordenaangeven. Deze relatie wordt bepaald aan de hand van een groepslidmaatschap. Het is mogelijk om Je kunt meerdere waarden als eduPersonAffiliation mee te geven meegeven door meerdere eduPersonAffiliation claims toe te voegen. Ook is het mogelijk om kun je meerdere eduPersonAffiliation claim claims dezelfde waarde te geven.
Het Voor het toevoegen van een eduPersonAffiliation claim gaat als volgtmoet je de volgende stappen doorlopen:
- Kies op de AD FS 'ADFS 2.0-server Start' -> 'All programs' -> 'Administrative Tools' -> AD FS 'ADFS 2.0 Management' om de AD FS ADFS 2.0 configuratieapplicatie te starten.
- Selecteer 'Service' -> 'Claims Descriptions' in de linker kolom linkerkolom van het overzichtsvenster.
- Klik in de rechterkolom onder 'Actions' op 'Add Claim Description...'.
- Vul de 'Display name' met "'eduPersonAffiliation" ' en de "'Claim identifier" ' met "'urn:mace:dir:attribute-def:eduPersonAffiliation"'.
- Plaats Enable beide opties (plaats een vinkje voor )onderstaande 2 opties:
- 'Publish this claim ... Service can accept'.
- 'Publish this claim ... Service can send'.
- Kies 'OK'.
- Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
- Selecteer SURFconext en kies voor "'Edit Claim Rules...'."
- Kies "'Add Rule..."'.
- Kies "'Send Group Membership as a Claim" ' en kies "Next"'Next'.
- Vul in:
- 'Claim rule name
- ' met bijvoorbeeld
- 'eduPersonAffiliation-student
"- '.
- 'User's group
- ' met bijvoorbeeld
- 'Students
- '.
- 'Outgoing claim type
- ' met
- 'eduPersonAffiliation
- '
- 'Outgoing claim value
- ' met de gewenste waarde (bijvoorbeeld 'student')
kies OK.- .
Kies 'Finish'.
- Herhaal Volg stap 7 t/m 11 om als je meerdere affiliations toe te voegen wilt toevoegen, zoals bijvoorbeeld 'employee:
'.
Beperken gebruik op basis van
...
groepslidmaatschap
Met de standaard installatie standaardinstallatie van AD FS ADFS 2.0 kunnen alle gebruikers binnen de Active Directory gebruik maken gebruikmaken van de federatieve koppeling. Dit is dus inclusief alle Service Accounts. Door het instellen van Als je 'Issuance Authorization Rules' kan instelt, kun je het gebruik gelimiteerd worden beperken tot leden van 1 of meerdere groepen of op basis van attributen (Claimsclaims) van de gebruikers.
Het volgend voorbeeld beperkt het gebruik tot leden van 1 bepaalde groep ' SURFconext-gebruikers'.
- Kies op de AD FS ADFS 2.0-server 'Start' -> 'All programs' -> 'Administrative Tools' -> AD FS 'ADFS 2.0 Management' om de AD FS ADFS 2.0 configuratieapplicatie te starten.
- Selecteer 'ADFS 2.0' -> 'Trust Relationships' -> 'Relying Party Trusts'.
- Selecteer 'SURFconext' en kies voor "'Edit Claim Rules...'."
- Ga naar het tabblad: "'Issuance Authorization Rules"'.
- Kies "'Add Rule...'."
- Kies "'Permit or Deny Users Based Base on Incoming Claim" ' en kies "'Next"'.
- Vul Vul in:
- 'Claim rule name
- ' met bijvoorbeeld
- 'SURFconext gebruikers
"- '.
- 'Incoming claim type
- ' met bijvoorbeeld
- 'Group SID
- '.
- 'Incoming claim value
- ' browse naar de
- gebruikersgroep (bijvoorbeeld
- 'SURFconext
- gebruikers').
- Zorg dat
- je 'Permit access to users within this incoming claim
kies Finish.- ' selecteert.
Kies 'Finish'.
- De standaard Rule "'Permit Access to All Users" kan verwijderd worden ' kun je verwijderen door deze te selecteren en knop "op 'Remove Rule..." in ' te drukkenklikken.
Bevestig het verwijderen met "'Yes"'.
- Kies "OK"'OK'.