Personalização da descoberta de realm inicial

Quando o cliente do AD FS solicita um recurso pela primeira vez, o servidor de federação do recurso não tem informações sobre o realm do cliente. O servidor de federação do recurso responde ao cliente do AD FS com uma página de Descoberta de realm do cliente, em que o usuário seleciona o realm inicial de uma lista. Os valores da lista são preenchidos a partir da propriedade de nome de exibição nas Relações de Confiança do Provedor de Declarações. Use os seguintes cmdlets do Windows PowerShell para modificar e personalizar a experiência de Descoberta de realm inicial do AD FS.

home realm

Aviso

Fique atento ao nome do Provedor de Declarações que aparece para o Active Directory local, se ele é o nome de exibição do serviço de federação.

Configure o Provedor de identidade para usar determinados sufixos de email

Uma organização pode federar com vários provedores de declarações. Agora, o AD FS fornece a funcionalidade pronta para administradores listarem os sufixos, por exemplo, @us.contoso.com, @eu.contoso.com, que é compatível com um provedor de declarações e habilita-o para descoberta baseada em sufixos. Com essa configuração, os usuários finais podem digitar sua conta institucional e o AD FS selecionará automaticamente o provedor de declarações correspondente.

Para configurar um IDP (provedor de identidade), como o fabrikam, para usar certos sufixos de email, use a seguinte sintaxe e cmdlet do Windows PowerShell.

Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")

Observação

Ao federar entre dois servidores do AD FS, defina a propriedade PromptLoginFederation na relação de confiança do provedor de declarações como ForwardPromptAndHintsOverWsFederation. Isso é para que o AD FS encaminhe o login_hint e o analisador de prompt para o IDP. Para fazer isso, execute o seguinte cmdlet do PowerShell:

Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Configurar uma lista de provedores de identidade por terceira parte confiável.

Para alguns cenários, uma organização pode desejar que os usuários finais vejam somente os provedores de declarações específicos para um aplicativo, de forma que somente um subconjunto de provedores de declarações é exibido na página de descoberta de realm inicial.

Para configurar uma lista IDP por RP (terceira parte confiável), use a seguinte sintaxe e o cmdlet do Windows PowerShell.

Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")

Ignore a descoberta de realm inicial para Intranet.

A maior parte das organizações dá suporte somente ao seu Active Directory local para qualquer usuário que acessa de dentro de seu firewall. Nesses casos, os administradores podem configurar o AD FS para ignorar a descoberta de realm inicial para a Intranet.

Para ignorar a HRD para Intranet, use a seguinte sintaxe e o cmdlet do Windows PowerShell.

Set-AdfsProperties -IntranetUseLocalClaimsProvider $true

Importante

Observe que, se uma lista de provedor de identidade para uma terceira parte confiável tiver sido configurada, mesmo se a configuração anterior estiver habilitada e o usuário acessar da Intranet, o AD FS ainda mostrará a página de HDR (descoberta de realm inicial). Para ignorar a HRD nesse caso, você precisa assegurar que o "Active Directory" também tenha sido adicionado à lista de IDP para essa terceira parte confiável.

Referências adicionais

Personalização de entrada de usuário do AD FS