Personalización de la detección del dominio de inicio
Cuando el cliente de AD FS solicita un recurso por primera vez, el servidor de federación de recursos no tiene información sobre el dominio kerberos del cliente. El servidor de federación de recursos responde al cliente de AD FS con la página Detección del dominio kerberos del cliente, donde el usuario selecciona el dominio de inicio en una lista. Los valores de la lista se rellenar a partir de la propiedad del nombre para mostrar de las relaciones de confianza para proveedor de notificaciones. Use los siguientes cmdlets de Windows PowerShell para modificar y personalizar la experiencia de detección del dominio de inicio de AD FS.
Advertencia
Ten en cuenta que el nombre del proveedor de notificaciones de Active Directory local que se muestra es el nombre para mostrar del servicio de federación.
Configuración del proveedor de identidades para utilizar ciertos sufijos de correo electrónico
Cada organización se puede federar con varios proveedores de notificaciones. AD FS incluye una funcionalidad que permite a los administradores obtener una lista de los sufijos (por ejemplo, @us.contoso.com, @eu.contoso.com) admitidos por cada proveedor de notificaciones y habilitarlos para la detección basada en sufijos. Con esta configuración, los usuarios finales pueden escribir sus cuentas de la organización y AD FS selecciona automáticamente el proveedor de notificaciones correspondiente.
Para configurar un proveedor de identidades (IDP), como fabrikam
, de modo que use determinados sufijos de correo electrónico, use el siguiente cmdlet de Windows PowerShell y la siguiente sintaxis.
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
Nota
Al federar entre dos servidores de AD FS, establezca la propiedad PromptLoginFederation de la relación de confianza del proveedor de notificaciones en ForwardPromptAndHintsOverWsFederation. Esto es para que AD FS reenvíe los parámetros login_hint y prompt al IDP. Para ello, ejecute el siguiente cmdlet de PowerShell:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
Configuración de una lista de proveedores de identidades por usuarios de confianza
En algunos escenarios, es posible que una organización quiera que los usuarios finales vean solamente los proveedores de notificaciones específicos de una aplicación, de manera que, en la página de detección del dominio de inicio, solo se muestre un subconjunto de los proveedores de notificaciones.
Para configurar una lista de IDP por usuario de confianza, use el siguiente cmdlet de Windows PowerShell y la siguiente sintaxis.
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
Omisión de la detección del dominio de inicio para la intranet
La mayoría de las organizaciones solo ofrece su Active Directory local a los usuarios que acceden desde dentro del firewall. En esos casos, los administradores pueden configurar AD FS de forma que omita la detección del dominio de inicio para la intranet.
Para omitir la detección del dominio de inicio para la intranet, utilice el siguiente cmdlet de Windows PowerShell y la siguiente sintaxis.
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
Importante
Tenga en cuenta que, si se ha configurado una lista de proveedores de identidades para un usuario de confianza, aunque se habilite la configuración anterior y el usuario acceda desde la intranet, AD FS seguirá mostrando la página de detección del dominio de inicio. Para omitir la HRD en este caso, tendrás que asegurarte de que se agregue también “Active Directory” a la lista de IDP del usuario de confianza.