AD FS 客户端首次请求资源时,资源联合服务器没有有关客户端领域的信息。 资源联合服务器使用 “客户端领域发现 ”页响应 AD FS 客户端,用户从列表中选择主领域。 列表的值由“声明提供方信任”中的显示名称属性填充。 使用以下 Windows PowerShell cmdlet 修改和自定义 AD FS 主领域发现体验。
Warning
请注意为本地 Active Directory 显示的“声明提供方”名称是联合身份验证服务显示名称。
配置身份提供商以使用特定的电子邮件后缀
组织可以与多个声明提供方联合。 AD FS 现在为管理员提供内置功能来列出后缀,例如 @us.contoso.com、@eu.contoso.com,该功能受声明提供方支持,并为基于后缀的发现启用该功能。 使用此配置,最终用户可以键入其组织帐户,AD FS 会自动选择相应的声明提供程序。
若要配置标识提供者(IDP),例如 fabrikam,若要使用某些电子邮件后缀,请使用以下 Windows PowerShell cmdlet 和语法。
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
Note
在两台 AD FS 服务器之间进行联合身份验证时,请将声明提供程序信任上的 PromptLoginFederation 属性设置为 ForwardPromptAndHintsOverWsFederation。 因此,AD FS 会将 login_hint 和 prompt 参数转发到 IDP。 为此,可以运行以下 PowerShell cmdlet:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
为每个信赖方配置标识提供者列表
在某些情况下,组织可能希望最终用户仅看到特定于应用程序的声明提供方,以便只有一个声明提供方子集显示在主领域发现页面上。
若要为每个信赖方(RP)配置 IDP 列表,请使用以下 Windows PowerShell cmdlet 和语法。
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
绕过 Intranet 的主领域发现
大多数组织仅提供对其本地 Active Directory 的支持,适用于任何从防火墙内部访问的用户。 在这些情况下,管理员可以配置 AD FS 来绕过 Intranet 的主领域发现。
若要绕过 Intranet 的 HRD,请使用以下 Windows PowerShell cmdlet 和语法。
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
Important
请注意是否已配置信赖方的身份提供程序列表,即使已启用上一个设置并且用户从 Intranet 进行访问,但 AD FS 仍显示主领域发现 (HRD) 页面。 若要在这种情况下绕过 HRD,你必须确保也将“Active Directory”添加到此信赖方的 IDP 列表。