Gestire e personalizzare Active Directory Federation Services con Azure AD ConnectManage and customize Active Directory Federation Services by using Azure AD Connect

In questo articolo viene descritto come gestire e personalizzare Active Directory Federation Services (ADFS) tramite Azure Active Directory (Azure AD) Connect.This article describes how to manage and customize Active Directory Federation Services (AD FS) by using Azure Active Directory (Azure AD) Connect. Si includono inoltre altre attività comuni di AD FS che potrebbero essere necessarie per eseguire una configurazione completa di una farm di AD FS.It also includes other common AD FS tasks that you might need to do for a complete configuration of an AD FS farm.

ArgomentoTopic ContenutoWhat it covers
Gestire AD FSManage AD FS
Ripristinare il trustRepair the trust Come ripristinare il trust federativo con Office 365.How to repair the federation trust with Office 365.
Attuare la federazione con Azure AD mediante l'ID di accesso alternativo Federate with Azure AD using alternate login ID Configurazione della federazione usando l'ID di accesso alternativoConfigure federation using alternate login ID
Aggiungere un server AD FSAdd an AD FS server Come espandere una farm AD FS con un server AD FS aggiuntivo.How to expand an AD FS farm with an additional AD FS server.
Aggiungere un server proxy applicazione Web AD FSAdd an AD FS Web Application Proxy server Come espandere la farm AD FS con un server Proxy applicazione Web (WAP) aggiuntivo.How to expand an AD FS farm with an additional Web Application Proxy (WAP) server.
Aggiunta di un dominio federatoAdd a federated domain Come aggiungere un dominio federato.How to add a federated domain.
Aggiornare il certificato SSLUpdate the SSL certificate Come aggiornare il certificato SSL per una farm AD FS.How to update the SSL certificate for an AD FS farm.
Personalizzare AD FSCustomize AD FS
Aggiungere un'illustrazione o il logo personalizzato della societàAdd a custom company logo or illustration Come personalizzare la pagina di accesso ad AD FS con un'illustrazione e il logo della società.How to customize an AD FS sign-in page with a company logo and illustration.
Aggiungere una descrizione di accessoAdd a sign-in description Come aggiungere una descrizione della pagina di accesso.How to add a sign-in page description.
Modificare le regole attestazioni per AD FSModify AD FS claim rules Come modificare le attestazioni di AD FS per vari scenari di federazione.How to modify AD FS claims for various federation scenarios.

Gestire AD FSManage AD FS

È possibile eseguire diverse operazioni relative ad Azure AD Connect con la procedura guidata di Azure AD Connect con un intervento minimo dell'utente.You can perform various AD FS-related tasks in Azure AD Connect with minimal user intervention by using the Azure AD Connect wizard. Al termine dell'installazione guidata di Azure AD Connect, è possibile eseguire nuovamente la procedura guidata per eseguire attività aggiuntive.After you've finished installing Azure AD Connect by running the wizard, you can run the wizard again to perform additional tasks.

Riparare il trustRepair the trust

È possibile usare Azure AD Connect per controllare lo stato corrente dell'integrità di trust di AD FS e Azure AD e intraprendere le azioni necessarie per ripristinare il trust.You can use Azure AD Connect to check the current health of the AD FS and Azure AD trust and take appropriate actions to repair the trust. Per ripristinare la relazione di trust tra Azure AD e AD FS, seguire questa procedura.Follow these steps to repair your Azure AD and AD FS trust.

  1. Selezionare Ripristino del trust di AAD e AD FS nell'elenco delle attività aggiuntive.Select Repair AAD and ADFS Trust from the list of additional tasks. Ripristino del trust di AAD e AD FSRepair AAD and ADFS Trust

  2. Nella pagina Connessione ad Azure AD specificare le credenziali di amministratore globale per Azure AD e fare clic su Avanti.On the Connect to Azure AD page, provide your global administrator credentials for Azure AD, and click Next. Connessione ad Azure ADConnect to Azure AD

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali dell'amministratore di dominio.On the Remote access credentials page, enter the credentials for the domain administrator.

    Credenziali di accesso remoto

    Dopo aver fatto clic su Avanti, Azure AD Connect verifica l'integrità del certificato e visualizza gli eventuali problemi.After you click Next, Azure AD Connect checks for certificate health and shows any issues.

    Stato dei certificati

    La pagina Pronto per la configurazione mostra l'elenco delle azioni che verranno eseguite per ripristinare il trust.The Ready to configure page shows the list of actions that will be performed to repair the trust.

    Pronto per la configurazione

  4. Fare clic su Installa per ripristinare il trust.Click Install to repair the trust.

Nota

Azure AD Connect può solo ripristinare o eseguire azioni sui certificati autofirmati.Azure AD Connect can only repair or act on certificates that are self-signed. I certificati di terze parti non possono essere ripristinati da Azure AD Connect.Azure AD Connect can't repair third-party certificates.

Attuare la federazione con Azure AD tramite AlternateIDFederate with Azure AD using AlternateID

Il nome dell’entità utente locale e il nome dell'entità utente cloud devono essere preferibilmente uguali.It is recommended that the on-premises User Principal Name(UPN) and the cloud User Principal Name are kept the same. Se il nome dell’entità utente locale usa un dominio non instradabile (ad esempioIf the on-premises UPN uses a non-routable domain (ex. Contoso.local) o non può essere modificato a causa di dipendenze dell'applicazione locale, è consigliabile configurare l'ID di accesso alternativo.Contoso.local) or cannot be changed due to local application dependencies, we recommend setting up alternate login ID. L’ID di accesso alternativo consente di configurare un'esperienza in cui gli utenti possono accedere con un attributo diverso dal relativo nome dell’entità locale, ad esempio mail.Alternate login ID allows you to configure a sign-in experience where users can sign in with an attribute other than their UPN, such as mail. La scelta del nome dell’entità utente in Azure AD Connect ricade per impostazione predefinita sull’attributo userPrincipalName in Active Directory.The choice for User Principal Name in Azure AD Connect defaults to the userPrincipalName attribute in Active Directory. Se si sceglie qualsiasi altro attributo per il nome dell'entità utente e si sta eseguendo la federazione con AD FS, Azure AD Connect configurerà AD FS per l’ID di accesso alternativo.If you choose any other attribute for User Principal Name and are federating using AD FS, then Azure AD Connect will configure AD FS for alternate login ID. Di seguito è riportato un esempio della scelta di un attributo diverso per il nome dell'entità utente:An example of choosing a different attribute for User Principal Name is shown below:

Selezione dell’attributo ID alternativo

La configurazione dell’ID di accesso alternativo per AD FS consiste in due passaggi principali:Configuring alternate login ID for AD FS consists of two main steps:

  1. Configurare il set corretto di attestazioni di rilascio: le regole di attestazione di rilascio nel trust della relying party di Azure AD vengono modificate per usare l’attributo UserPrincipalName selezionato come ID alternativo dell'utente.Configure the right set of issuance claims: The issuance claim rules in the Azure AD relying party trust are modified to use the selected UserPrincipalName attribute as the alternate ID of the user.
  2. Abilitare l'ID di accesso alternativo nella configurazione di AD FS: la configurazione di AD FS viene aggiornata in modo che AD FS possa cercare gli utenti delle foreste appropriate con un ID alternativo.Enable alternate login ID in the AD FS configuration: The AD FS configuration is updated so that AD FS can look up users in the appropriate forests using the alternate ID. Questa configurazione è supportata per AD FS in Windows Server 2012 R2 (con KB2919355) o versioni successive.This configuration is supported for AD FS on Windows Server 2012 R2 (with KB2919355) or later. Se i server AD FS sono 2012 R2, Azure AD Connect controlla la presenza della KB richiesta.If the AD FS servers are 2012 R2, Azure AD Connect checks for the presence of the required KB. Se la Knowledge Base non viene rilevata, un avviso verrà visualizzato al termine della configurazione, come illustrato di seguito:If the KB is not detected, a warning will be displayed after configuration completes, as shown below:

    Avviso per KB mancante su 2012 R2

    Per risolvere la configurazione in caso di KB mancante, installare la KB2919355 richiesta e quindi ripristinare il trust usando Ripristino del trust AAD e AD FS.To rectify the configuration in case of missing KB, install the required KB2919355 and then repair the trust using Repair AAD and AD FS Trust.

Nota

Per altre informazioni su alternateID e i passaggi per eseguire la configurazione manuale, leggere Configurazione di ID di accesso alternativo.For more information on alternateID and steps to manually configure, read Configuring Alternate Login ID

Aggiungere un server AD FSAdd an AD FS server

Nota

Per aggiungere un server AD FS, Azure AD Connect richiede il file PFX del certificato.To add an AD FS server, Azure AD Connect requires the PFX certificate. È quindi possibile eseguire questa operazione solo se la farm AD FS è stata configurata con Azure AD Connect.Therefore, you can perform this operation only if you configured the AD FS farm by using Azure AD Connect.

  1. Selezionare Distribuzione di un server federativo aggiuntivo e fare clic su Avanti.Select Deploy an additional Federation Server, and click Next.

    Server federativo aggiuntivo

  2. Nella pagina Connessione ad Azure AD specificare le credenziali di amministratore globale per Azure AD e fare clic su Avanti.On the Connect to Azure AD page, enter your global administrator credentials for Azure AD, and click Next.

    Connettersi ad Azure AD

  3. Specificare le credenziali di amministratore di dominio.Provide the domain administrator credentials.

    Credenziali dell'amministratore di dominio

  4. Azure AD Connect chiederà la password del file PFX specificato durante la configurazione della nuova farm AD FS con Azure AD Connect.Azure AD Connect asks for the password of the PFX file that you provided while configuring your new AD FS farm with Azure AD Connect. Fare clic su Immettere la password per specificare la password del file PFX.Click Enter Password to provide the password for the PFX file.

    Password certificato

    Specificare il certificato SSL

  5. Nella pagina Server ADFS immettere il nome del server o l'indirizzo IP da aggiungere alla farm ADFS.On the AD FS Servers page, enter the server name or IP address to be added to the AD FS farm.

    Server AD FS

  6. Fare clic su Avanti e procedere fino alla pagina Configura finale.Click Next, and go through the final Configure page. Quando Azure AD Connect avrà completato l'aggiunta dei server alla farm AD FS, si potrà verificare la connettività.After Azure AD Connect has finished adding the servers to the AD FS farm, you will be given the option to verify the connectivity.

    Pronto per la configurazione

    Installazione completata

Aggiungere un server WAP AD FSAdd an AD FS WAP server

Nota

Per aggiungere un server WAP, Azure AD Connect richiede il file PFX del certificato.To add a WAP server, Azure AD Connect requires the PFX certificate. È quindi possibile eseguire questa operazione solo se la farm AD FS è stata configurata con Azure AD Connect.Therefore, you can only perform this operation if you configured the AD FS farm by using Azure AD Connect.

  1. Selezionare Distribuisci il proxy applicazione Web (nessuno attualmente configurato) nell'elenco delle attività disponibili.Select Deploy Web Application Proxy from the list of available tasks.

    Distribuire il Proxy applicazione Web

  2. Specificare le credenziali di amministratore globale di Azure.Provide the Azure global administrator credentials.

    Connettersi ad Azure AD

  3. Nella pagina Specificare il certificato SSL indicare la password per il file PFX specificato durante la configurazione della farm AD FS con Azure AD Connect.On the Specify SSL certificate page, provide the password for the PFX file that you provided when you configured the AD FS farm with Azure AD Connect. Password certificatoCertificate password

    Specificare il certificato SSL

  4. Aggiungere il server da usare come server WAP.Add the server to be added as a WAP server. Dato che il server WAP potrebbe anche non essere aggiunto al dominio, la procedura guidata richiede le credenziali amministrative da aggiungere per il server.Because the WAP server might not be joined to the domain, the wizard asks for administrative credentials to the server being added.

    Credenziali amministrative del server

  5. Nella pagina Credenziali attendibilità proxy specificare le credenziali amministrative per configurare l'attendibilità del proxy e accedere al server primario nella farm AD FS.On the Proxy trust credentials page, provide administrative credentials to configure the proxy trust and access the primary server in the AD FS farm.

    Credenziali di attendibilità del proxy

  6. La pagina Pronto per la configurazione della procedura guidata mostra l'elenco delle azioni che verranno eseguite.On the Ready to configure page, the wizard shows the list of actions that will be performed.

    Pronto per la configurazione

  7. Fare clic su Installa per completare la configurazione.Click Install to finish the configuration. Al termine della configurazione, la procedura guidata offre la possibilità di verificare la connettività ai server.After the configuration is complete, the wizard gives you the option to verify the connectivity to the servers. Fare clic su Verifica per controllare la connettività.Click Verify to check connectivity.

    Installazione completata

Aggiunta di un dominio federatoAdd a federated domain

Con Azure AD Connect è facile aggiungere un dominio per la federazione con Azure AD.It's easy to add a domain to be federated with Azure AD by using Azure AD Connect. Azure AD Connect aggiunge il dominio per la federazione e modifica le regole attestazioni per riflettere correttamente l'autorità di certificazione quando sono presenti più domini federati con Azure AD.Azure AD Connect adds the domain for federation and modifies the claim rules to correctly reflect the issuer when you have multiple domains federated with Azure AD.

  1. Per aggiungere un dominio federato, selezionare l'attività Aggiunta di un altro dominio di Azure AD.To add a federated domain, select the task Add an additional Azure AD domain.

    Dominio di Azure AD aggiuntivo

  2. Nella pagina successiva della procedura guidata specificare le credenziali di amministratore globale per Azure AD.On the next page of the wizard, provide the global administrator credentials for Azure AD.

    Connessione ad Azure AD

  3. Nella pagina Credenziali di accesso remoto specificare le credenziali di amministratore di dominio.On the Remote access credentials page, provide the domain administrator credentials.

    Credenziali di accesso remoto

  4. Nella pagina successiva la procedura guidata mostra un elenco di domini di Azure AD con cui è possibile attuare la federazione della directory locale.On the next page, the wizard provides a list of Azure AD domains that you can federate your on-premises directory with. Scegliere il dominio dall'elenco.Choose the domain from the list.

    Dominio di Azure AD

    Dopo aver scelto il dominio, la procedura guidata offre informazioni appropriate sulle altre azioni che verranno eseguite e sull'impatto della configurazione.After you choose the domain, the wizard provides you with appropriate information about further actions that the wizard will take and the impact of the configuration. In alcuni casi, se si seleziona un dominio non ancora verificato in Azure AD, la procedura guidata offre informazioni che consentono di verificare il dominio.In some cases, if you select a domain that isn't yet verified in Azure AD, the wizard provides you with information to help you verify the domain. Per altre informazioni, vedere Aggiungere un nome di dominio personalizzato ad Azure Active Directory .See Add your custom domain name to Azure Active Directory for more details.

  5. Fare clic su Avanti.Click Next. Nella pagina Pronto per la configurazione viene visualizzato l'elenco delle azioni che verranno eseguite da Azure AD Connect.The Ready to configure page shows the list of actions that Azure AD Connect will perform. Fare clic su Installa per completare la configurazione.Click Install to finish the configuration.

    Pronto per la configurazione

Nota

Prima che possano accedere ad Azure AD, gli utenti del dominio federato aggiunto devono essere sincronizzati.Users from the added federated domain must be synchronized before they will be able to login to Azure AD.

Personalizzazione di AD FSAD FS customization

Le sezioni seguenti offrono informazioni dettagliate su alcune attività comuni che potrebbe essere necessario eseguire durante la configurazione della pagina di accesso ad AD FS.The following sections provide details about some of the common tasks that you might have to perform when you customize your AD FS sign-in page.

Per modificare il logo della società visualizzato nella pagina Accesso , usare la sintassi e il cmdlet di Windows PowerShell seguenti.To change the logo of the company that's displayed on the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Nota

Le dimensioni consigliate per il logo sono 260 x 35 a 96 DPI, con dimensioni del file non maggiori di 10 KB.The recommended dimensions for the logo are 260 x 35 @ 96 dpi with a file size no greater than 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Nota

Il parametro TargetName è obbligatorio.The TargetName parameter is required. Il tema predefinito incluso in AD FS è denominato Predefinito.The default theme that's released with AD FS is named Default.

Aggiungere una descrizione di accessoAdd a sign-in description

Per aggiungere una descrizione alla Pagina di accessostessa, usare la sintassi e il cmdlet di Windows PowerShell seguenti.To add a sign-in page description to the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Modificare le regole di attestazione per AD FSModify AD FS claim rules

AD FS supporta un linguaggio di attestazione avanzato che può essere usato per creare regole attestazioni personalizzate.AD FS supports a rich claim language that you can use to create custom claim rules. Per altre informazioni, vedere Ruolo del linguaggio delle regole attestazioni.For more information, see The Role of the Claim Rule Language.

Le sezioni seguenti descrivono come scrivere regole personalizzate per alcuni scenari relativi alla federazione di AD FS e Azure AD.The following sections describe how you can write custom rules for some scenarios that relate to Azure AD and AD FS federation.

ID non modificabile in base alla presenza di un valore nell'attributoImmutable ID conditional on a value being present in the attribute

Azure AD Connect consente di specificare un attributo da usare come ancoraggio di origine durante la sincronizzazione degli oggetti con Azure AD.Azure AD Connect lets you specify an attribute to be used as a source anchor when objects are synced to Azure AD. Se il valore dell'attributo personalizzato non è vuoto, è consigliabile rilasciare un'attestazione con ID non modificabile.If the value in the custom attribute is not empty, you might want to issue an immutable ID claim.

Ad esempio, è possibile selezionare ms-ds-consistencyguid come attributo per l'ancoraggio di origine e rilasciare ImmutableID come ms-ds-consistencyguid nel caso in cui il valore dell'attributo non sia vuoto.For example, you might select ms-ds-consistencyguid as the attribute for the source anchor and issue ImmutableID as ms-ds-consistencyguid in case the attribute has a value against it. Se non esiste un valore a fronte dell'attributo, rilasciare objectGuid come ID non modificabile.If there's no value against the attribute, issue objectGuid as the immutable ID. È possibile costruire il set di regole attestazioni personalizzate come descritto nella sezione seguente.You can construct the set of custom claim rules as described in the following section.

Regola 1: Attributi della queryRule 1: Query attributes

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

In questa regola si esegue una query da Active Directory sui valori di ms-ds-consistencyguid e objectGuid per l'utente.In this rule, you're querying the values of ms-ds-consistencyguid and objectGuid for the user from Active Directory. Modificare il nome dell'archivio con un nome di archivio appropriato nella distribuzione di AD FS.Change the store name to an appropriate store name in your AD FS deployment. Sostituire anche il tipo di attestazioni con il tipo appropriato per la federazione, come definito per objectGuid e ms-ds-consistencyguid.Also change the claims type to a proper claims type for your federation, as defined for objectGuid and ms-ds-consistencyguid.

Inoltre, se si usa add invece di issue, si evita di aggiungere un rilascio in uscita per l'entità ed è possibile usare i valori come valori intermedi.Also, by using add and not issue, you avoid adding an outgoing issue for the entity, and can use the values as intermediate values. L'attestazione verrà rilasciata in una regola successiva, dopo aver stabilito il valore usare come ID non modificabile.You will issue the claim in a later rule after you establish which value to use as the immutable ID.

Regola 2: Verificare la presenza di ms-ds-consistencyguid per l'utenteRule 2: Check if ms-ds-consistencyguid exists for the user

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Questa regola definisce un flag temporaneo denominato idflag, che è impostato su useguid se non è presente un ms-ds-concistencyguid popolato per l'utente.This rule defines a temporary flag called idflag that is set to useguid if there's no ms-ds-consistencyguid populated for the user. Questo perché secondo la logica di AD FS non sono ammesse attestazioni vuote.The logic behind this is the fact that AD FS doesn't allow empty claims. Pertanto quando si aggiungono le attestazioni http://contoso.com/ws/2016/02/identity/claims/objectguid e http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid nella regola 1, si ottiene un'attestazione msdsconsistencyguid solo se il valore viene popolato per l'utente.So when you add claims http://contoso.com/ws/2016/02/identity/claims/objectguid and http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in Rule 1, you end up with an msdsconsistencyguid claim only if the value is populated for the user. Se non è popolato, AD FS rileva che avrà un valore vuoto e lo rimuove immediatamente.If it isn't populated, AD FS sees that it will have an empty value and drops it immediately. Tutti gli oggetti avranno objectGuid, quindi l'attestazione sarà sempre presente dopo l'esecuzione della regola 1.All objects will have objectGuid, so that claim will always be there after Rule 1 is executed.

Regola 3: Rilasciare ms-ds-consistencyguid come ID non modificabile se presenteRule 3: Issue ms-ds-consistencyguid as immutable ID if it's present

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value);

Si tratta di un controllo Exist implicito.This is an implicit Exist check. Se il valore per l'attestazione esiste, viene emesso come ID non modificabile.If the value for the claim exists, then issue that as the immutable ID. Nell'esempio precedente si usa l'attestazione nameidentifier .The previous example uses the nameidentifier claim. Sarà necessario sostituirla con il tipo di attestazione appropriato per l'ID non modificabile nel proprio ambiente.You'll have to change this to the appropriate claim type for the immutable ID in your environment.

Regola 4: Rilasciare objectGuid come ID non modificabile se ms-ds-consistencyGuid non è presenteRule 4: Issue objectGuid as immutable ID if ms-ds-consistencyGuid is not present

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c2.Value);

In questa regola si verifica semplicemente il flag temporaneo idflag.In this rule, you're simply checking the temporary flag idflag. Decidere se rilasciare l'attestazione in base al relativo valore.You decide whether to issue the claim based on its value.

Nota

La sequenza delle regole è importante.The sequence of these rules is important.

SSO con un UPN di sottodominioSSO with a subdomain UPN

È possibile aggiungere più domini per la federazione usando Azure AD Connect, come descritto in Aggiungere un nuovo dominio federato.You can add more than one domain to be federated by using Azure AD Connect, as described in Add a new federated domain. È necessario modificare l'attestazione basata sul nome dell'entità utente (UPN), in modo che l'ID autorità emittente corrisponda al dominio radice e non al sottodominio, perché il dominio radice federato include anche il dominio figlio.You must modify the user principal name (UPN) claim so that the issuer ID corresponds to the root domain and not the subdomain, because the federated root domain also covers the child.

Per impostazione predefinita, la regola attestazioni per l'ID autorità di certificazione è impostata come:By default, the claim rule for issuer ID is set as:

c:[Type
== “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(c.Value, “.+@(?<domain>.+)“, “http://${domain}/adfs/services/trust/“));

Attestazione predefinita per l'ID autorità di certificazione

La regola predefinita usa semplicemente il suffisso UPN nell'attestazione per l'ID autorità di certificazione.The default rule simply takes the UPN suffix and uses it in the issuer ID claim. Ad esempio, John è un utente in sub.contoso.com e contoso.com è federato con Azure AD.For example, John is a user in sub.contoso.com, and contoso.com is federated with Azure AD. John immette john@sub.contoso.com come nome utente per accedere ad Azure AD.John enters john@sub.contoso.com as the username while signing in to Azure AD. La regola di attestazione ID autorità emittente predefinita in AD FS gestisce nel modo seguente:The default issuer ID claim rule in AD FS handles it in the following manner:

c:[Type
== “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(john@sub.contoso.com, “.+@(?<domain>.+)“, “http://${domain}/adfs/services/trust/“));

Valore dell'attestazione: http://sub.contoso.com/adfs/services/trust/Claim value: http://sub.contoso.com/adfs/services/trust/

Perché il valore attestazione dell'autorità emittente contenga solo il dominio radice, modificare la regola attestazioni in modo che corrisponda a quanto segue:To have only the root domain in the issuer claim value, change the claim rule to match the following:

c:[Type == “http://schemas.xmlsoap.org/claims/UPN“]

=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid“, Value = regexreplace(c.Value, “^((.*)([.|@]))?(?<domain>[^.]*[.].*)$”, “http://${domain}/adfs/services/trust/“));

Passaggi successiviNext steps

Altre informazioni sulle opzioni di accesso utente.Learn more about user sign-in options.