針對 Active Directory 同盟服務 Idp 起始的登入進行疑難排解

Active Directory 同盟服務 (AD FS) 登入頁面可以用來檢查驗證是否運作中。 此測試是藉由瀏覽至頁面並登入來完成。 此外，您也可以使用登入頁面，來驗證是否已列出所有 SAML 2.0 信賴憑證者。

啟用 Idp 起始的登入頁面

根據預設，Windows 2016 中的 AD FS 不會啟用登入頁面。 若要啟用此頁面，您可以使用 PowerShell 命令 Set-AdfsProperties。 請使用下列程序來啟用此頁面：

1. 請開啟 Windows PowerShell。

2. 輸入 Get-AdfsProperties 並點擊 Enter 鍵。

3. 驗證 EnableIdpInitiatedSignonPage 屬性是否設定為 false。

   

4. 在 PowerShell 中，輸入 Set-AdfsProperties -EnableIdpInitiatedSignonPage $true。

5. PowerShell 不會提供命令 Set-AdfsProperties 的確認。 若要確認 EnableIdpInitatedSignonPage 屬性設定為 true，請再次輸入 Get-AdfsProperties 命令，並檢查屬性的值。

   

測試驗證

使用下列程序，透過 Idp 起始的登入頁面測試 AD FS 驗證。

1. 開啟網頁瀏覽器，然後移至 Idp 登入頁面。 您的 URL 看起來可能像 https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx。

2. 系統應該會提示您登入。 輸入您的認證。

   

3. 如果程序成功，您就會登入。

使用無縫登入測試驗證

您可以藉由確定 AD FS 伺服器的 URL 新增至網際網路選項的近端內部網路區域，來測試無縫的登入體驗。 請使用下列程序：

1. 在 Windows 10 用戶端上，選取 [開始] 並輸入「網際網路選項」，然後選取 [網際網路選項]。

2. 選取 [安全性] 索引標籤、選取 [近端內部網路]，然後選取 [網站]。

   

3. 選取進階。

4. 輸入您的 URL，然後選取 [新增]。 選取 [關閉]。

   

5. 選取 [確定]。 然後，選取 [確定] 以關閉網際網路選項。

6. 開啟網頁瀏覽器並移至 Idp 登入頁面。 您的 URL 看起來可能像 https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx。

7. 選取 [登入] 按鈕。 您應該會自動登入，且系統不會提示您輸入認證。

   

已知問題

若使用宣告提供者信任不是僅使用 WS-同盟被動端點所設定的，則無法搭配該信任使用 AD FS 登入頁面來起始登入。 註冊信賴憑證者 (例如 ClaimsXRay)，以驗證 WS-同盟宣告提供者信任是否如預期般運作。

後續步驟

• 針對 AD FS 進行疑難排解