Web Application Proxy結(jié)合AD FS預(yù)先驗證機制，可以協(xié)助我們達成于前端就完成遠程用戶身份識別的作業(yè)，而無須等到后端應(yīng)用程序的驗證響應(yīng)。

請回到ADFS管理界面，點擊位于“操作”窗格中的“編輯發(fā)布授權(quán)規(guī)則……”選項繼續(xù)。如果您目前是像筆者一樣，已設(shè)置了一則“允許所有用戶訪問”的規(guī)則，那么請在選取之后點擊“編輯規(guī)則”按鈕繼續(xù)，否則請點擊“添加規(guī)則”按鈕。

在“選擇規(guī)則類型”的頁面中，請選取“根據(jù)傳入宣告來允許或拒絕用戶”選項，此規(guī)則簡單來說就是要采用AD FS本身的驗證機制，來預(yù)先決定是否讓遠程用戶可以進行訪問。點擊“下一步”按鈕，在“設(shè)置宣告規(guī)則”頁面中，除了需要設(shè)置“宣告規(guī)則名稱”之外，在此筆者以驗證特定組成員的身份為例，選取了“組SID”類型。

當然啦！后續(xù)您也可以根據(jù)其他多種類型設(shè)置來辨別合法身分，例如：設(shè)備OS版本、設(shè)備標識符、電子郵件地址等等。

在完成了“組SID”類型的選擇之后，請點擊“瀏覽”按鈕來挑選目前網(wǎng)絡(luò)中的組，最后再決定是否要允許或者拒絕此組成員的連接登錄操作，最后點擊“完成”按鈕。

因此，當遠程的用戶不符合前面宣告規(guī)則的合法身份驗證時，即便他在后端的應(yīng)用程序數(shù)據(jù)庫之中，是屬于存在而且合法的人員身份，那么也會出現(xiàn)這個登錄錯誤的頁面信息，來告知用戶未獲得訪問此網(wǎng)站的授權(quán)。