設置應用程序的發布授權規則

Web Application Proxy結合AD FS預先驗證機制，可以協助我們達成于前端就完成遠程用戶身份識別的作業，而無須等到后端應用程序的驗證響應。

請回到ADFS管理界面，點擊位于“操作”窗格中的“編輯發布授權規則……”選項繼續。如果您目前是像筆者一樣，已設置了一則“允許所有用戶訪問”的規則，那么請在選取之后點擊“編輯規則”按鈕繼續，否則請點擊“添加規則”按鈕。

在“選擇規則類型”的頁面中，請選取“根據傳入宣告來允許或拒絕用戶”選項，此規則簡單來說就是要采用AD FS本身的驗證機制，來預先決定是否讓遠程用戶可以進行訪問。點擊“下一步”按鈕，在“設置宣告規則”頁面中，除了需要設置“宣告規則名稱”之外，在此筆者以驗證特定組成員的身份為例，選取了“組SID”類型。

當然啦！后續您也可以根據其他多種類型設置來辨別合法身分，例如：設備OS版本、設備標識符、電子郵件地址等等。

在完成了“組SID”類型的選擇之后，請點擊“瀏覽”按鈕來挑選目前網絡中的組，最后再決定是否要允許或者拒絕此組成員的連接登錄操作，最后點擊“完成”按鈕。

因此，當遠程的用戶不符合前面宣告規則的合法身份驗證時，即便他在后端的應用程序數據庫之中，是屬于存在而且合法的人員身份，那么也會出現這個登錄錯誤的頁面信息，來告知用戶未獲得訪問此網站的授權。