若要使客户端计算机能够使用 Active Directory 联合身份验证服务(AD FS)成功访问联合应用程序,必须先在每个客户端计算机上配置 Internet Explorer 设置,以便浏览器信任帐户联合服务器。 可通过完成以下过程之一,手动或通过组策略执行此操作,具体取决于管理首选项。
手动配置 Internet Explorer 设置
可以使用以下过程手动配置每个用户的 Internet Explorer 设置,以支持通过 AD FS 进行联合身份验证。 如果多个用户使用一台计算机,请多次完成此过程 - 每个用户配置文件一次。
若要执行此过程,请以将访问联合应用程序的用户身份登录。 这是特定于配置文件的设置。 因此,它要求你为特定计算机上存在的每个配置文件手动添加此设置。
手动将客户端计算机配置为信任帐户联合服务器
在客户端计算机上,启动 Internet Explorer。
在“工具”菜单上,单击“Internet 选项”。
在“ 安全 ”选项卡上,单击 “本地 Intranet ”图标,然后单击“ 站点”。
单击“ 高级”,然后在 “将此网站添加到区域”中,键入帐户联合服务器的完整域名系统(DNS)名称(例如, https://fs1.fabrikam.com)然后单击“ 添加”。
单击“ 确定 ”三次。
使用组策略配置 Internet Explorer 设置
对于大多数部署,建议使用组策略将相应的 Internet Explorer 设置推送到每台客户端计算机。
Active Directory 域服务(AD DS)中的 域管理员 或 企业管理员或等效成员身份是完成此过程所需的最低要求。 查看有关在本地和域默认组中使用相应帐户和组成员身份的详细信息(http://go.microsoft.com/fwlink/?LinkId=83477).
使用组策略配置客户端计算机,使其信任帐户联合服务器
在帐户伙伴组织林中的域控制器上,启动“组策略管理”单元。
找到相应的组策略对象(GPO),右键单击它,然后单击“ 编辑”。
在控制台树中,打开 用户配置\首选项\Windows 设置\Internet Explorer 维护,然后单击“ 安全性”。
在详细信息窗格中,双击 “安全区域”和“内容分级”。
在 “安全区域和隐私”下,单击“ 导入当前安全区域和隐私设置”,然后单击“ 修改设置”。
单击本地内网,然后单击站点。
在 “将此网站添加到区域”中,键入帐户联合服务器的完整 DNS 名称(例如, https://fs1.fabrikam.com)单击“ 添加”,然后单击“ 关闭”。
单击“ 确定 ”两次,将这些更改应用到组策略。