AD FS クライアントが最初にリソースを要求するとき、リソース フェデレーション サーバーにはクライアントの領域に関する情報がありません。 リソース フェデレーション サーバーは、クライアント 領域検出 ページを使用して AD FS クライアントに応答します。ここで、ユーザーは一覧からホーム領域を選択します。 この一覧の値は、要求プロバイダー信頼の表示名プロパティから取得されます。 次の Windows PowerShell コマンドレットを使用して、AD FS ホーム領域検出エクスペリエンスを変更およびカスタマイズします。
警告
ローカル Active Directory に表示されるクレーム プロバイダー名はフェデレーション サービスの表示名であることに注意してください。
特定の電子メール サフィックスを使用するように ID プロバイダーを構成する
1 つの組織は、複数のクレーム プロバイダーとフェデレーションできます。 AD FS では、管理者がクレーム プロバイダーでサポートされているサフィックス ( @us.contoso.com、 @eu.contoso.comなど) を一覧表示し、サフィックスベースの検出を有効にするインボックス機能が提供されるようになりました。 この構成では、エンド ユーザーは自分の組織アカウントを入力でき、AD FS は対応するクレーム プロバイダーを自動的に選択します。
特定の電子メール サフィックスを使用するように id プロバイダー (IDP) ( fabrikam など) を構成するには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsClaimsProviderTrust -TargetName fabrikam -OrganizationalAccountSuffix @("fabrikam.com";"fabrikam2.com")
注
2 つの AD FS サーバー間でフェデレーションする場合は、要求プロバイダー信頼の PromptLoginFederation プロパティを ForwardPromptAndHintsOverWsFederation に設定します。 これは、AD FS がlogin_hintとプロンプトのパラメーターを IDP に転送するためです。 これを行うには、次の PowerShell コマンドレットを実行します。
Set-AdfsclaimsProviderTrust -PromptLoginFederation ForwardPromptAndHintsOverWsFederation
証明書利用者ごとに ID プロバイダーの一覧を構成する
一部のシナリオでは、アプリケーションに固有のクレーム プロバイダーのみをエンド ユーザーに表示して、クレーム プロバイダーのサブセットのみがホーム領域検出ページに表示されるようにしたい場合があります。
証明書利用者 (RP) ごとに IDP リストを構成するには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Fabrikam","Active Directory")
イントラネットのホーム領域検出をバイパスする
ほとんどの組織は、ファイアウォール内からアクセスするすべてのユーザーに対してローカル Active Directory のみをサポートしています。 このような場合、管理者は、イントラネットのホーム領域検出をバイパスするように AD FS を構成できます。
イントラネットの HRD をバイパスするには、次の Windows PowerShell コマンドレットと構文を使用します。
Set-AdfsProperties -IntranetUseLocalClaimsProvider $true
重要
以前の設定が有効になっていて、ユーザーがイントラネットからアクセスした場合でも、証明書利用者の ID プロバイダーの一覧が構成されている場合でも、AD FS にはホーム領域検出 (HRD) ページが表示されることに注意してください。 この場合、HRD をバイパスするには、この証明書利用者の IDP リストにも "Active Directory" が追加されるようにする必要があります。