如何限制在 ADFS 中的 Home Realm Discovery 页面上列出的声明提供者?
How do I limit the claim providers listed on the Home Realm Discovery page in ADFS?
我在 Windows Server 2012 R2
上使用 ADFS 3.0
我正在设置 ADFS 以跨多个组织联合。我的组织中有一个 ADFS 实例,它声称提供商信任外部的其他 ADFS 实例。整体体验良好且功能齐全,除了当我在 ADFS 登录页面时,列出了所有声明提供者。我需要缩小范围,因为我们无法显示所有这些。
我的第一个想法是在 onload 中注入 javascript,并进行快速重定向,但是,精明的用户仍然可以通过 Fiddler 等网络工具访问完整的提供商列表。
我不倾向于为每个索赔提供者向我的应用程序添加依赖合作伙伴信任,并在我的应用程序中使用一些业务逻辑将用户发送到适当的 url,该列表将有一个较短的列表.不过,这更让人头疼。
关于如何实现这一点有什么想法吗?在 ADFS 2.0 中,您可以手动编辑 aspx 来解决这个问题。
您可以使用 set-adfsclaimsprovidertrust cmdlet 和 OrganizationalAccountSuffix 参数在每个 CP 信任上启用组织后缀。 https://technet.microsoft.com/en-us/library/dn479371.aspx has details of cmdlet. This is available in 2012 R2 AD FS onwards. See https://technet.microsoft.com/en-us/library/dn280950(v=ws.11).aspx 也是。
然后,当用户最终访问 AD FS 并且需要 HRD 时,他们不会看到 CP 列表,但会被要求输入 UPN。基于后缀,它们被重定向。
我在 Windows Server 2012 R2
上使用 ADFS 3.0我正在设置 ADFS 以跨多个组织联合。我的组织中有一个 ADFS 实例,它声称提供商信任外部的其他 ADFS 实例。整体体验良好且功能齐全,除了当我在 ADFS 登录页面时,列出了所有声明提供者。我需要缩小范围,因为我们无法显示所有这些。
我的第一个想法是在 onload 中注入 javascript,并进行快速重定向,但是,精明的用户仍然可以通过 Fiddler 等网络工具访问完整的提供商列表。
我不倾向于为每个索赔提供者向我的应用程序添加依赖合作伙伴信任,并在我的应用程序中使用一些业务逻辑将用户发送到适当的 url,该列表将有一个较短的列表.不过,这更让人头疼。
关于如何实现这一点有什么想法吗?在 ADFS 2.0 中,您可以手动编辑 aspx 来解决这个问题。
您可以使用 set-adfsclaimsprovidertrust cmdlet 和 OrganizationalAccountSuffix 参数在每个 CP 信任上启用组织后缀。 https://technet.microsoft.com/en-us/library/dn479371.aspx has details of cmdlet. This is available in 2012 R2 AD FS onwards. See https://technet.microsoft.com/en-us/library/dn280950(v=ws.11).aspx 也是。
然后,当用户最终访问 AD FS 并且需要 HRD 时,他们不会看到 CP 列表,但会被要求输入 UPN。基于后缀,它们被重定向。