Personalização de descoberta de realm inicial

Quando o AD FS solicita um recurso pela primeira vez, o servidor de federação de recursos não tem informações sobre o realm do cliente. O servidor de federação de recursos responde ao cliente AD FS com uma página Descoberta de Realm do Cliente, em que o usuário seleciona o realm inicial de uma lista. Os valores da lista são preenchidos a partir da propriedade de nome de exibição nas Relações de Confiança do Provedor de Declarações. Use os seguintes Windows PowerShell cmdlets para modificar e personalizar a experiência AD FS Descoberta de Realm Inicial.

home realm

Aviso

Fique atento ao nome do Provedor de Declarações que aparece para o Active Directory local, se ele é o nome de exibição do serviço de federação.

Configure o Provedor de identidade para usar determinados sufixos de email

Uma organização pode federar com vários provedores de declarações. AD FS agora fornece a funcionalidade in-box para que os administradores listem os sufixos, por exemplo, , que são suportados por um provedor de declarações e habilitam-os para descoberta baseada em @us.contoso.com@eu.contoso.com sufixo. Com essa configuração, os usuários finais podem digitar sua conta institucional e o AD FS selecionará automaticamente o provedor de declarações correspondente.

Para configurar um IDP (provedor de identidade), como , para usar determinados sufixos de email, use o fabrikam seguinte cmdlet Windows PowerShell e sintaxe.

Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")

Observação

Ao federar entre dois AD FS, defina a propriedade PromptLoginFederation na relação de confiança do provedor de declarações como ForwardPromptAndHintsOverWsFederation. Isso é para que AD FS encaminhe o login_hint e o parmeter de prompt para o IDP. Isso pode ser feito executando o seguinte cmdlet do PowerShell:

Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Configurar uma lista de provedores de identidade por terceira parte confiável.

Para alguns cenários, uma organização pode desejar que os usuários finais vejam somente os provedores de declarações específicos para um aplicativo, de forma que somente um subconjunto de provedores de declarações é exibido na página de descoberta de realm inicial.

Para configurar uma lista de IDP por RP (parte de confiança), use a sintaxe e o cmdlet Windows PowerShell seguir.

Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")

Ignore a descoberta de realm inicial para Intranet.

A maior parte das organizações dá suporte somente ao seu Active Directory local para qualquer usuário que acessa de dentro de seu firewall. Nesses casos, os administradores podem configurar o AD FS para ignorar a descoberta de realm inicial para a intranet.

Para ignorar o HRD para a intranet, use o seguinte Windows PowerShell cmdlet e sintaxe.

Set-AdfsProperties -IntranetUseLocalClaimsProvider $true

Importante

Observe que, se uma lista de provedores de identidade para uma parte de confiança tiver sido configurada, mesmo que a configuração anterior tenha sido habilitada e o usuário acesse da intranet, o AD FS ainda mostrará a página HRD (descoberta de realm inicial). Para ignorar a HRD nesse caso, você precisa assegurar que o "Active Directory" também tenha sido adicionado à lista de IDP para essa terceira parte confiável.

Referências adicionais

AD FS personalização de login do usuário