Anpassung der Startbereichsermittlung
Wenn der AD FS-Client anfangs eine Ressource anfordert, hat der Ressourcenverbundserver keine Informationen zum Bereich des Clients. Der Ressourcenverbundserver antwortet dem AD FS-Client mit einer Seite zur Startbereichserkennung, auf der Benutzer*innen den Startbereich aus einer Liste auswählen. Die Listenwerte werden aus der Anzeigenameneigenschaft in den Anspruchsanbieter-Vertrauensstellungen entnommen. Verwenden Sie die folgenden Windows PowerShell-Cmdlets, um die Benutzeroberfläche zur AD FS-Startbereichserkennung zu ändern und anzupassen.
Warnung
Beachten Sie, dass der für lokale Active Directory-Bereitstellungen angezeigt Anspruchsanbietername der Anzeigename des Verbunddiensts ist.
Konfigurieren des Identitätsanbieters für die Verwendung bestimmter E-Mail-Suffixe
Eine Organisation kann einen Verbund mit mehreren Anspruchsanbietern eingehen. AD FS bietet Administrator*innen jetzt die integrierte Funktion, die Suffixe aufzulisten, die von einem Anspruchsanbieter unterstützt werden, z. B. @us.contoso.com oder @eu.contoso.com, und ihn für die suffixbasierte Ermittlung zu aktivieren. Mit dieser Konfiguration können Endbenutzer ihr Organisationskonto eingeben, und AD FS wählen automatisch den entsprechenden Anspruchsanbieter aus.
Verwenden Sie zum Konfigurieren eines Identitätsanbieters wie fabrikam zur Verwendung bestimmter E-Mail-Suffixe das folgende Windows PowerShell-Cmdlet und die folgende Syntax.
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
Hinweis
Legen Sie beim Verbund zwischen zwei AD FS-Servern die PromptLoginFederation-Eigenschaft auf der Anspruchsanbieter-Vertrauensstellung auf ForwardPromptAndHintsOverWsFederation fest. Somit leitet AD FS den login_hint und den Aufforderungsparameter an IDP weiter. Hierzu können Sie das folgende PowerShell-Cmdlet ausführen:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
Konfigurieren einer Identitätsanbieterliste pro vertrauender Seite
In einigen Szenarios möchte eine Organisation möglicherweise, dass Endbenutzern nur die Anspruchsanbieter angezeigt werden, die für eine Anwendung spezifisch sind, sodass nur eine Untersammlung von Anspruchsanbietern auf der Seite zur Startbereichsermittlung angezeigt wird.
Verwenden Sie zum Konfigurieren einer IDP-Liste pro vertrauender Seite das folgende Windows PowerShell-Cmdlet und die folgende Syntax.
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
Umgehen der Startbereichsermittlung für das Intranet
Die meisten Organisationen unterstützen nur ihr internes Active Directory für jeden Benutzer, dessen Zugriff von innerhalb der Firewall erfolgt. In diesen Fällen können Administratoren AD FS so konfigurieren, dass die Startbereichserkennung für das Intranet übergangen wird.
Verwenden Sie zum Umgehen der Startbereichserkennung im Intranet das folgende Windows PowerShell-Cmdlet und die folgende Syntax.
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
Wichtig
Beachten Sie Folgendes: Wenn eine Identitätsanbieterliste für eine vertrauende Seite konfiguriert wurde, zeigt AD FS, selbst wenn die vorherige Einstellung aktiviert wurde und der Benutzer vom Intranet aus zugreift, immer noch die Seite zur Startbereichserkennung an. Zum Umgehen der Startbereichsermittlung in diesem Fall müssen Sie sicherstellen, dass Active Directory ebenfalls zur Identitätsanbieterliste für diese vertrauende Seite hinzugefügt wird.