Personalizzazione di individuazione dell'area di autenticazione

Quando il client di ADFS richiede innanzitutto una risorsa, il server federativo di risorsa non contiene informazioni sull'area di autenticazione del client. Il server federativo di risorsa risponde al client ADFS con un individuazione dell'area di autenticazione Client pagina, in cui l'utente seleziona l'area di autenticazione principale da un elenco. Il valori dell'elenco sono popolati dalla proprietà del nome visualizzato in Attendibilità provider di attestazioni. Utilizzare i cmdlet di Windows PowerShell seguenti per modificare e personalizzare l'esperienza di AD FS Home Realm Discovery.

Avviso

Si noti che il nome del provider di attestazioni visualizzato per Active Directory locale è il nome visualizzato del Server federativo.

Configurare il provider di identità per l'uso di determinati suffissi di posta elettronica

Un'organizzazione può creare una federazione con più provider di attestazioni. AD FS offre ora la funzionalità predefinita per gli amministratori per elencare i suffissi, ad esempio @us.contoso.com, @eu.contoso.com, supportato da un provider di attestazioni e abilitarlo per l'individuazione basata su suffisso. Con questa configurazione, gli utenti finali possono digitare nel proprio account aziendale e AD FS seleziona automaticamente il provider di attestazioni corrispondente.

Per configurare un provider di identità (IDP), ad esempio fabrikam, per usare determinati suffissi di posta elettronica, usare il cmdlet e la sintassi di Windows PowerShell seguenti.

Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")

Nota

Quando si esegue la federazione tra due server AD FS, impostare la proprietà PromptLoginFederation sul trust del provider di attestazioni su ForwardPromptAndHintsOverWsFederation. Questo fa sì che AD FS inoltri il login_hint e prompt parmeter all’IDP. A tale scopo, eseguire il cmdlet di PowerShell seguente:

Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Configurare un elenco dei provider di identità per ogni relying party

Per alcuni scenari è possibile che un'organizzazione desideri che gli utenti finali vedano solo i provider di attestazioni specifici per un'applicazione, in modo che nella pagina di individuazione dell'area di autenticazione principale sia visualizzato solo un subset di provider di attestazioni.

Per configurare un elenco IDP per relying party (RP), usare il cmdlet e la sintassi di Windows PowerShell seguenti.

Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")

Escludere l'individuazione dell'area di autenticazione principale per la rete Intranet

La maggior parte delle organizzazioni supporta solo l'istanza di Active Directory locale per tutti gli utenti che accedono dall'interno del firewall. In questi casi, gli amministratori possono configurare ADFS per escludere l'individuazione dell'area di autenticazione per la rete intranet.

Per ignorare HRD per la rete intranet, utilizzare la sintassi e i cmdlet Windows PowerShell seguente.

Set-AdfsProperties -IntranetUseLocalClaimsProvider $true

Importante

Si noti che se è stato configurato un elenco di provider di identità per una relying party, anche se l'impostazione precedente è stata abilitata e l'utente accede dalla intranet, AD FS visualizza comunque la pagina di individuazione dell'area di autenticazione principale (HRD). Per escludere l'individuazione dell'area di autenticazione principale in questo caso, è necessario verificare che all'elenco di provider di identità per questa relying pary sia aggiunto anche "Active Directory".

Altri riferimenti

Personalizzazione dell'accesso utente ad Active Directory Federation Services (AD FS)