Настройка обнаружения домашней области
Когда клиент AD FS сначала запрашивает ресурс, сервер федерации ресурсов не имеет сведений о области клиента. Сервер федерации ресурсов отвечает на клиент AD FS со страницей обнаружения клиентских областей, где пользователь выбирает домашнюю область из списка. Список заполняется значениями из свойства отображаемого имени в разделе "Отношения доверия поставщиков утверждений". Используйте следующие командлеты Windows PowerShell, чтобы изменить и настроить интерфейс обнаружения домашней области AD FS.
Предупреждение
Помните, что имя поставщика утверждений, отображаемое для локальной системы Active Directory — это отображаемое имя службы федерации.
Настройка поставщика удостоверений для использования определенных суффиксов электронной почты
Организация может состоять в федеративных отношениях с несколькими поставщиками утверждений. AD FS теперь предоставляет встроенные возможности для администраторов для перечисления суффиксов, например @us.contoso.com, @eu.contoso.comподдерживаемых поставщиком утверждений и включения обнаружения на основе суффикса. Эта конфигурация позволяет пользователям вводить данные рабочей учетной записи, для которой AD FS автоматически выберет соответствующий поставщик утверждений.
Чтобы настроить поставщика удостоверений (IDP), например fabrikamдля использования определенных суффиксов электронной почты, используйте следующий командлет и синтаксис Windows PowerShell.
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
Примечание.
При федеративном подключении между двумя серверами AD FS задайте свойство PromptLoginFederation для доверия поставщика утверждений к ForwardPromptAndHintsOverWsFederation. Это позволяет AD FS пересылать login_hint и запрашивать парметр в поставщика удостоверений. Это можно сделать, выполнив следующий командлет PowerShell:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
Настройка списка поставщиков удостоверений по проверяющей стороне
В некоторых сценариях нужно, чтобы конечные пользователи организации могли видеть только поставщиков утверждений, работающих с данным приложением, то есть чтобы на странице обнаружения домашней области отображалось только определенное подмножество поставщиков утверждений.
Чтобы настроить список поставщиков удостоверений для проверяющей стороны (RP), используйте следующий командлет и синтаксис Windows PowerShell.
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
Отключение обнаружения домашней области для интрасети
В большинстве организаций локальная система Active Directory поддерживается только для пользователей, осуществляющих доступ в пределах брандмауэра организации. В таких случаях администраторы могут настроить AD FS для обхода обнаружения домашней области для интрасети.
Чтобы обойти HRD для интрасети, используйте следующий командлет и синтаксис Windows PowerShell.
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
Внимание
Обратите внимание, что если список поставщиков удостоверений для проверяющей стороны настроен, даже если предыдущий параметр включен и пользователь обращается из интрасети, AD FS по-прежнему отображает страницу обнаружения домашней области (HRD). Для отключения обнаружения домашней области в этом случае необходимо убедиться, что элемент "Active Directory" также добавлен в список поставщиков удостоверений для данной проверяющей стороны.