将客户端计算机配置为信任帐户联合服务器

为了使客户端计算机能够使用 Active Directory 联合身份验证服务 (AD FS) 成功访问联合应用程序，必须先在每台客户端计算机上配置 Internet Explorer 设置，使浏览器信任帐户联合服务器。 可通过完成以下过程之一，手动或通过组策略执行此操作，具体取决于管理首选项。

手动配置 Internet Explorer 设置

可使用以下过程手动配置每个用户的 Internet Explorer 设置，以支持通过 AD FS 的联合身份验证。 如果多个用户使用一台计算机，请多次完成此过程 - 每个用户配置文件一次。

若要执行此过程，请以将访问联合应用程序的用户身份登录。 这是特定于配置文件的设置。 因此，它要求你为特定计算机上存在的每个配置文件手动添加此设置。

手动将客户端计算机配置为信任帐户联合服务器

1. 在客户端计算机上，启动 Internet Explorer。

2. 在“工具”菜单上，单击“Internet 选项”。

3. 在“安全”选项卡上，单击“本地 intranet”图标，然后单击“站点”。

4. 单击“高级”，然后在“将此网站添加至该区域”中，键入帐户联合服务器的完整域名系统 (DNS) 名称（例如 https://fs1.fabrikam.com)，然后单击“添加”。

5. 单击“确定”三次。

使用组策略配置 Internet Explorer 设置

对于大多数部署，建议使用组策略将相应的 Internet Explorer 设置推送到每台客户端计算机。

Active Directory 域服务 (AD DS) 的“域管理员”或“企业管理员”中的成员身份或等效身份是完成此过程所需的最低要求。 若要查看有关使用适合的帐户和组成员身份的详细信息，请参阅本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477).

使用组策略将客户端计算机配置为信任帐户联合服务器

1. 在帐户伙伴组织林中的域控制器上，启动“组策略管理”单元。

2. 找到相应的组策略对象 (GPO)，右键单击它，然后单击“编辑”。

3. 在控制台树中，打开“用户配置\首选项\Windows 设置\Internet Explorer 维护”，然后单击“安全”。

4. 在详细信息窗格中，双击“安全区域和内容分级”。

5. 在“安全区域和隐私”下，单击“导入当前安全区域和隐私设置”，然后单击“修改设置”。

6. 单击“本地 Intranet”，然后单击“站点”。

7. 在“将此网站添加至该区域”中，键入帐户联合服务器的完整 DNS 名称（例如 https://fs1.fabrikam.com)，单击“添加”，然后单击“关闭”。

8. 单击“确定”两次，将这些更改应用到组策略。