ホーム領域検出のカスタマイズ
AD FS クライアントは、まず、リソースを要求する場合、リソース フェデレーション サーバーには、クライアントの領域に関する情報がありません。 リソースのフェデレーション サーバーが AD FS のクライアントには、 クライアント領域の検出 ] ページで、一覧から、ユーザーが、ホーム領域を選択します。 この一覧の値は、要求プロバイダー信頼の表示名プロパティから取得されます。 次の Windows PowerShell コマンドレットを使用して、変更および AD FS ホーム領域検出エクスペリエンスをカスタマイズします。
警告
ローカルの Active Directory に表示される要求プロバイダー名はフェデレーション サービスの表示名であることに注意してください。
特定の電子メール サフィックスを使用するための ID プロバイダーの構成
組織は複数の要求プロバイダーとフェデレーションを確立できます。 AD FS は、管理者が要求プロバイダーでサポートされているサフィックス (@us.contoso.com、@eu.contoso.com など) を一覧表示し、サフィックス ベースの検出を有効にする受信トレイ機能を提供するようになりました。 この構成では、エンド ユーザーが組織のアカウントを入力すると、AD FS によって対応する要求プロバイダーが自動的に選択されます。
fabrikam などの ID プロバイダー (IDP) を構成して特定の電子メール サフィックスを使用するには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
注意
2 つの AD FS サーバー間でフェデレーションを行う場合は、要求プロバイダー信頼の PromptLoginFederation プロパティを ForwardPromptAndHintsOverWsFederation に設定します。 これは、AD FS が login_hint とプロンプト パラメーターを IDP に転送するためです。 これを行うには、次の PowerShell コマンドレットを実行します。
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
証明書利用者ごとの ID プロバイダーの一覧の構成
組織によっては、エンド ユーザーがアプリケーションに固有の要求プロバイダーのみを参照できるように、ホーム領域検出ページに一部の要求プロバイダーのみを表示することが必要な場合があります。
証明書利用者 (RP) ごとに IDP の一覧を構成するには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
イントラネットのホーム領域検出のバイパス
ほとんどの組織では、ファイアウォールの内部からアクセスするユーザーに対してローカルの Active Directory のみをサポートしています。 このような場合は、管理者が、イントラネットのホーム領域検出をバイパスする AD FS を構成できます。
イントラネットに HRD をバイパスするには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
重要
証明書利用者の ID プロバイダーの一覧が構成されている場合、前の設定が有効になっていて、ユーザーがイントラネットからアクセスしている場合でも、AD FS はホーム領域検出 (HRD) ページを表示することに注意してください。 この場合に HRD をバイパスするには、この証明書利用者の IDP 一覧に "Active Directory" も追加する必要があります。