Ограничить один домен в двустороннем доверии для ADFS 2.0

Мы имеем двустороннее доверие к нашей среде Active Directory, чтобы облегчить миграцию пользователей из "Домена Х" в "Домен А".

У нас есть несколько приложений, указывающих на ADFS Farm, которая использует удостоверения в "Домене A".

В течение этого периода совместного проживания пользователи пытаются пройти проверку подлинности на нашем сервере ADFS со своей идентификацией "Домен X". Что не работает на стороне приложения. (приложение знает только xxx@domainA). SamAccountName полностью отличается в Домене A и Домене X. Я пытался отказать в аутентификации через "Правила авторизации выдачи" в доверительных отношениях ретранслирующей стороны, но пользователи остаются аутентифицированными в нашей ADFS, и приложение показывает только сообщение об ошибке SAML.

Чтобы избежать путаницы, я хочу явно запретить аутентификацию в ADFS для другого домена, кроме домена A. Возможно ли это?

Для справки вот попробованное правило запрета: существует ([Type == " http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "SID OF DOMAINX \ Domain Пользователи "]) => проблема (Type =" http://schemas.microsoft.com/authorization/claims/deny", Value =" true ");

Спасибо