ホーム領域検出のカスタマイズHome Realm Discovery Customization

AD FS クライアントは、まず、リソースを要求する場合、リソース フェデレーション サーバーには、クライアントの領域に関する情報がありません。When the AD FS client first requests a resource, the resource federation server has no information about the realm of the client. リソースのフェデレーション サーバーが AD FS のクライアントには、 クライアント領域の検出 ] ページで、一覧から、ユーザーが、ホーム領域を選択します。The resource federation server responds to the AD FS client with a Client Realm Discovery page, where the user selects the home realm from a list. この一覧の値は、要求プロバイダー信頼の表示名プロパティから取得されます。The list values are populated from the display name property in the Claims Provider Trusts. 次の Windows PowerShell コマンドレットを使用して、変更および AD FS ホーム領域検出エクスペリエンスをカスタマイズします。Use the following Windows PowerShell cmdlets to modify and customize the AD FS Home Realm Discovery experience.

ホーム領域

警告

ローカルの Active Directory に表示される要求プロバイダー名はフェデレーション サービスの表示名であることに注意してください。Be aware that the Claims Provider name that shows up for local Active Directory is the federation service display name.

特定の電子メール サフィックスを使用するための ID プロバイダーの構成Configure Identity Provider to use certain email suffixes

組織は複数の要求プロバイダーとフェデレーションを確立できます。An organization can federate with multiple claims providers. AD FS では、管理者がボックス化できるようになりまし - た。たとえば、要求プロバイダーでサポートされているサフィックスを一覧表示し、 @us.contoso.com @eu.contoso.com サフィックスベースの検出に対して有効にし - ます。AD FS now provides the in-box capability for administrators to list the suffixes, for example, @us.contoso.com, @eu.contoso.com, that is supported by a claims provider and enable it for suffix-based discovery. この構成では、エンド ユーザーが組織のアカウントを入力すると、AD FS によって対応する要求プロバイダーが自動的に選択されます。With this configuration, end users can type in their organizational account, and AD FS automatically selects the corresponding claims provider.

Id プロバイダーを構成する (IDP), など fabrikam, を特定の電子メール サフィックスを使用して、次の Windows PowerShell コマンドレットと構文を使用します。To configure an identity provider (IDP), such as fabrikam, to use certain email suffixes, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")

注意

2つの AD FS サーバー間でフェデレーションを行う場合は、要求プロバイダー信頼の PromptLoginFederation プロパティを ForwardPromptAndHintsOverWsFederation に設定します。When federating between two AD FS servers, set PromptLoginFederation property on the claims provider trust to ForwardPromptAndHintsOverWsFederation. これは、AD FS が login_hint とプロンプトを IDP に転送するためです。This is so that AD FS will forward the login_hint and prompt parmeter to the IDP. これを行うには、次の PowerShell コマンドレットを実行します。This can be done by running the following PowerShell cmdlet:

Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation

証明書利用者ごとの ID プロバイダーの一覧の構成Configure an identity provider list per relying party

組織によっては、エンド ユーザーがアプリケーションに固有の要求プロバイダーのみを参照できるように、ホーム領域検出ページに一部の要求プロバイダーのみを表示することが必要な場合があります。For some scenarios, an organizations might want end users to only see the claims providers that are specific to an application so that only a subset of claims provider are displayed on the home realm discovery page.

証明書利用者ごとに IDP の一覧を構成するパーティ (RP), 、次の Windows PowerShell コマンドレットと構文を使用します。To configure an IDP list per relying party (RP), use the following Windows PowerShell cmdlet and syntax.

Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")

イントラネットのホーム領域検出のバイパスBypass Home Realm Discovery for the intranet

ほとんどの組織では、ファイアウォールの内部からアクセスするユーザーに対してローカルの Active Directory のみをサポートしています。Most organizations only support their local Active Directory for any user who accesses from inside their firewall. このような場合は、管理者が、イントラネットのホーム領域検出をバイパスする AD FS を構成できます。In those cases, administrators can configure AD FS to bypass home realm discovery for the intranet.

イントラネットに HRD をバイパスするには、次の Windows PowerShell コマンドレットと構文を使用します。To bypass HRD for the intranet, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsProperties -IntranetUseLocalClaimsProvider $true

重要

証明書利用者の id プロバイダーの一覧が構成されている場合も、前の設定が有効であるに注意してくださいと、ユーザーにアクセスするイントラネット、AD FS であっても、ホーム領域検出 (HRD) ページです。Please note that if an identity provider list for a relying party has been configured, even though the previous setting has been enabled and the user accesses from the intranet, AD FS still shows the home realm discovery (HRD) page. この場合に HRD をバイパスするには、この証明書利用者の IDP 一覧に "Active Directory" も追加する必要があります。To bypass HRD in this case, you have to ensure that "Active Directory" is also added to the IDP list for this relying party.

その他のリファレンスAdditional references

AD FS ユーザーサインインのカスタマイズAD FS User Sign-in Customization