當 AD FS 用戶端第一次要求資源時,資源同盟伺服器就沒有用戶端領域的相關信息。 資源同盟伺服器會以 客戶端領域探索 頁面回應 AD FS 用戶端,使用者從清單中選取主領域。 清單的值會從聲明提供者信任中的顯示名稱屬性來填入。 使用下列 Windows PowerShell Cmdlet 來修改和自定義 AD FS 主領域探索體驗。
警告
請注意,對於本機 Active Directory 顯示的聲明提供者名稱,是聯盟服務的顯示名稱。
設定識別提供者以使用特定電子郵件後綴
組織可以與多個聲明提供者聯邦。 AD FS 現在提供內建功能,讓系統管理員列出宣告提供者支援的後綴,例如 @us.contoso.com、@eu.contoso.com,並啟用基於後綴的探索。 透過此設定,終端使用者可以輸入其組織帳戶,而 AD FS 會自動選取對應的宣告提供者。
若要設定識別提供者 (IDP),例如 fabrikam,以使用特定電子郵件後綴,請使用下列 Windows PowerShell Cmdlet 和語法。
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
備註
在兩部 AD FS 伺服器之間進行同盟時,將宣告提供者信任中的 PromptLoginFederation 屬性設定為 ForwardPromptAndHintsOverWsFederation。 如此一來,AD FS 會將login_hint和提示參數轉送至 IDP。 執行下列 PowerShell Cmdlet 即可完成此作業:
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
為每個信賴憑證者設定識別提供者清單
在某些案例中,組織可能會希望終端使用者只查看應用程式專屬的宣告提供者,讓主領域探索頁面上只會顯示宣告提供者的子集。
若要為每個信賴方 (RP) 設定 IDP 清單,請使用下列 Windows PowerShell cmdlet 和語法。
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
跳過內部網路的主域探索
大部分的組織只支援其本機 Active Directory,供任何從防火牆內部存取的使用者使用。 在這些情況下,系統管理員可以設定AD FS以略過內部網路的主領域探索。
若要略過內部網路的 HRD,請使用下列 Windows PowerShell cmdlet 和語法。
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
這很重要
請注意,如果已設定信賴憑證者的身份提供者清單,即使先前的設定已啟用,而且使用者從內部網路存取,AD FS 仍會顯示「Home Realm Discovery (HRD) 」(主領域探索)頁面。 若要在此案例中略過 HRD,您必須確保「Active Directory」也會新增至此信賴憑證者的 IDP 清單中。