Настройка обнаружения домашней области

Когда клиент AD FS сначала запрашивает ресурс, сервер федерации ресурсов не содержит сведений о сфере клиента. Сервер федерации ресурсов реагирует на страницу обнаружения клиентской области клиента AD FS, где пользователь выбирает домашнюю область из списка. Список заполняется значениями из свойства отображаемого имени в разделе "Отношения доверия поставщиков утверждений". используйте следующие командлеты Windows PowerShell, чтобы изменить и настроить процедуру обнаружения AD FS домашней области.

home realm

Предупреждение

Помните, что имя поставщика утверждений, отображаемое для локальной системы Active Directory — это отображаемое имя службы федерации.

Настройка поставщика удостоверений для использования определенных суффиксов электронной почты

Организация может состоять в федеративных отношениях с несколькими поставщиками утверждений. AD FS теперь предоставляет администраторам возможность перечислить суффиксы, например,, @us.contoso.com@eu.contoso.com которые поддерживаются поставщиком утверждений и включают его для обнаружения на основе суффикса. Эта конфигурация позволяет пользователям вводить данные рабочей учетной записи, для которой AD FS автоматически выберет соответствующий поставщик утверждений.

чтобы настроить поставщик удостоверений (IDP), например fabrikam , для использования определенных суффиксов электронной почты, используйте следующий Windows PowerShell командлет и синтаксис.

Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")

Примечание

При создании Федерации между двумя AD FS серверами задайте для свойства Промптлогинфедератион отношения доверия поставщика утверждений значение Форвардпромптандхинтсовервсфедератион. Это необходимо для того, чтобы AD FS перенаправлял login_hint и предложит параметра IDP. Это можно сделать, выполнив следующий командлет PowerShell:

Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Настройка списка поставщиков удостоверений по проверяющей стороне

В некоторых сценариях нужно, чтобы конечные пользователи организации могли видеть только поставщиков утверждений, работающих с данным приложением, то есть чтобы на странице обнаружения домашней области отображалось только определенное подмножество поставщиков утверждений.

чтобы настроить список IDP для отдельной проверяющей стороны (RP), используйте следующий Windows PowerShell командлет и синтаксис.

Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")

Отключение обнаружения домашней области для интрасети

В большинстве организаций локальная система Active Directory поддерживается только для пользователей, осуществляющих доступ в пределах брандмауэра организации. В таких случаях администраторы могут настроить AD FS для обхода обнаружения домашней области в интрасети.

чтобы обойти обнаружения домашней области для интрасети, используйте следующий Windows PowerShell командлет и синтаксис.

Set-AdfsProperties -IntranetUseLocalClaimsProvider $true

Важно!

Обратите внимание, что если вы настроили список поставщиков удостоверений для проверяющей стороны, хотя предыдущий параметр включен и пользователь обращается к интрасети, AD FS по-прежнему отображает страницу обнаружение домашней области (обнаружения домашней области). Для отключения обнаружения домашней области в этом случае необходимо убедиться, что элемент "Active Directory" также добавлен в список поставщиков удостоверений для данной проверяющей стороны.

Дополнительная справка

AD FS настройки входа пользователя