Personnalisation de la découverte de domaine d’accueil
Quand le client AD FS demande une ressource, le serveur de fédération des ressources n’a aucune information sur le domaine du client. Ce serveur renvoie au client ADFS une page Découverte de domaine du client, permettant à l’utilisateur de sélectionner son domaine d’accueil dans une liste. Les valeurs de la liste proviennent de la propriété des noms complets dans les approbations de fournisseur de revendications. Utilisez les applets de commande Windows PowerShell suivantes pour modifier et personnaliser la découverte de domaine d’accueil dans AD FS.
Avertissement
Gardez à l'esprit que le nom du fournisseur de revendications qui apparaît pour l'annuaire Active Directory local est le nom complet du service de fédération.
Configurer le fournisseur d'identité pour utiliser certains suffixes d'adresse de messagerie
Une organisation peut fédérer avec plusieurs fournisseurs de revendications. AD FS propose par défaut aux administrateurs une fonctionnalité qui leur permet de répertorier les suffixes (par exemple, @us.contoso.com, @eu.contoso.com) pris en charge par un fournisseur de revendications et qu’ils peuvent activer pour effectuer une découverte par suffixe. Avec cette configuration, les utilisateurs peuvent saisir leur compte professionnel et AD FS sélectionne automatiquement le fournisseur de revendications correspondant.
Pour configurer un fournisseur d’identité (IDP), tel que fabrikam, afin qu’il emploie certains suffixes d’e-mail, utilisez l’applet de commande Windows PowerShell et la syntaxe suivantes.
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
Remarque
Lors de la fédération entre deux serveurs AD FS, définissez la propriété PromptLoginFederation sur l’approbation du fournisseur de revendications sur ForwardPromptAndHintsOverWsFederation. Cela permet à AD FS de transférer login_hint et d’envoyer le paramètre au fournisseur d’identité. Pour ce faire, exécutez l’applet de commande PowerShell suivante :
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
Configurer une liste de fournisseurs d'identité par partie de confiance
Dans certains scénarios, une organisation peut souhaiter que les utilisateurs finaux ne voient que les fournisseurs de revendications propres à une application, afin que la page de la découverte de domaine d'accueil n'affiche qu'une partie des fournisseurs de revendications.
Pour configurer une liste de fournisseurs d’identité par partie de confiance, utilisez l’applet de commande Windows PowerShell et la syntaxe suivantes.
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
Contourner la découverte de domaine d'accueil pour l'intranet
La plupart des organisations ne prennent en charge un annuaire Active Directory local que pour l'accès utilisateur à partir de leur pare-feu. Dans ces situations, les administrateurs peuvent configurer AD FS afin de contourner la découverte de domaine d’accueil pour l’intranet.
Pour ce faire, utilisez l’applet de commande Windows PowerShell et la syntaxe suivantes.
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
Important
Si une liste de fournisseurs d’identité pour une partie de confiance a été configurée, AD FS affiche la page de la découverte de domaine d’accueil, même lorsque le paramétrage antérieur a été activé et que l’utilisateur se connecte à partir de l’intranet. Dans ce cas, pour contourner la découverte de domaine d'accueil, vous devez vous assurer que l'option « Active Directory » est également ajoutée à la liste de fournisseurs d'identité pour cette partie de confiance.