リッチクライアントまたはWebアプリケーションのWindows 2016 RTM ADFSでクライアントと信頼関係の信頼を設定するにはどうすればよいですか？

Question

私は以前、Windows 2012 R2 ADFSで認証された豊富なクライアントを手に入れて、hereを文書化しました。私たちはWindows 2016 RTM ADFSに移行しています（2012 R2はWeb Apps/ADAL.jsを適切にサポートしていないため）。その設定を翻訳/拡張するのには苦労しています。私は、私は、クライアントがADFSを打つようにエラーがすぐだったのですかどのような：

MSIS9321: Received invalid OAuth request. The client 'LL957F23-D6C5-4D52-8A40-4F26B3408888' is forbidden to access the resource '<relying-party-url>' 

私はADFS 2016のプレビューバージョンのこの問題に対するいくつかの応答を発見し、すべてが同じソリューションを提案してきました - セットアップに頼りますパーティーには、PowerShellを使用して、次のオプションを指定します。

-IssuanceAuthorizationRules '=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = “true”);' 

しかし、私はこれらのソリューションによって示される正確なコードを撮影し、手動（デフォルト）「みんなを許可」するアクセス制御ポリシーを設定し、その代わりに使用して両方を試してみました-IssuanceAuthorizationRules setupを実行すると、どちらもこの問題を解決できません。

誰もが勝利2016 RTMのADFSと、このエラーや経験のための他のソリューションを持っていますか？

Answer 1

OK、私はこの作業を持っています。 Windows 2012 R2のADFSと比較すると、いくつか追加の構成があります。 Windows Server 2016 ADFSで

、我々は、彼らが使用したいセットアップする（依拠当事者）サービス（複数可）に1つ以上のクライアントをリンクするアプリケーショングループを、必要とします。クライアントサーバーテンプレートのいずれかができますを選択する

オープンADFS管理コンソールと左側の「アプリケーショングループ」を右クリックし、「アプリケーション・グループを追加...」

ウィザードの1回のパスでリンクされたクライアントとサーバーをセットアップすることができます。私のように既にクライアントアプリケーションを定義している場合は、スタンドアロンWeb APIを選択して、後で既存のクライアントにリンクすることができます。

この場合、ウィザードの2ページ目には、Web APIの識別子 - ターゲットリソースURLまたはその他の文字列識別子（ADFS上のすべての依拠当事者で一意である必要があります）だけが必要です。

ページ3では、アクセス制御ポリシーを選択します。「Permit Everyone」ではなく、デフォルトを採用しました。このようOpenIDの接続の許可またはリフレッシュトークンを要求する能力など：4ページ

あなたは、トップパネル内のWeb APIにアクセスし、許可のスコープを指定するトークンを必要とし、既存のクライアント（複数可）を追加することができます。

そして、それはそれです。これは私のためにThe client is forbidden to access the resourceエラーを取り除きました。他の投稿に記載されているカスタム-IssuanceAuthorizationRulesを使用する必要はありませんでした。