主領域探索自訂
當 AD FS 用戶端第一次要求資源時,資源同盟伺服器沒有用戶端領域的任何資訊。 資源同盟伺服器會以 [用戶端領域探索] 頁面 (在這裡使用者可以從清單中選取主領域) 來回應 AD FS 用戶端。 清單值是由宣告提供者信任的顯示名稱屬性填入。 使用下列 Windows PowerShell Cmdlet 來修改和自訂 AD FS 主領域探索體驗。
警告
請注意本機 Active Directory 顯示的宣告提供者名稱是 Federation Service 顯示名稱。
設定識別提供者以使用特定電子郵件尾碼
組織可以與多個宣告提供者同盟。 AD FS 現在為管理員提供了一個內建功能,可以列出宣告提供者支援的尾碼 (例如 @us.contoso.com、@eu.contoso.com),並啟用它來進行尾碼型探索。 藉由這個設定,使用者可以輸入組織帳戶,AD FS 會自動選取對應的宣告提供者。
若要設定 fabrikam 之類的識別提供者 (IDP) 使用特定電子郵件尾碼,請使用下列 Windows PowerShell Cmdlet 和語法。
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
注意
在兩台 AD FS 伺服器之間進行同盟時,請將宣告提供者信任上的 PromptLoginFederation 屬性設為 ForwardPromptAndHintsOverWsFederation。 這樣 AD FS 就會將 login_hint 和提示參數轉送給 IDP。 這可以透過執行以下 PowerShell Cmdlet 來完成:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
根據信賴憑證者設定識別提供者清單。
在某些情況下,組織可能會想讓使用者只看到應用程式特定的宣告提供者,如此在主領域探索頁面上只會顯示宣告提供者子集。
若要根據信賴憑證者 (RP) 設定 IDP 清單,請使用下列 Windows PowerShell Cmdlet 和語法。
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
略過內部網路的主領域探索
對於從防火牆內存取的使用者,大部分組織僅支援其本機 Active Directory。 在這些情況下,系統管理員可以設定 AD FS 略過內部網路的主領域探索。
若要略過內部網路的 HRD,請使用下列 PowerShell Cmdlet 和語法。
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
重要
請注意,若已設定信賴憑證者的識別提供者清單,即使已啟用先前的設定且使用者從內部網路存取,AD FS 仍會顯示主領域探索 (HRD) 頁面。 若要在此情況下略過 HRD,您必須確定 "Active Directory" 也會新增到此信賴憑證者的 IDP 清單。