我在Windows Server 2012 R2上使用ADFS 3.0
我正在为多个组织的联盟设置ADFS。我的组织中有一个ADFS实例,它声称提供商信任外部的其他ADFS实例。整体体验良好且功能强大,只有当我在ADFS登录页面上时,列出了所有声明提供程序。我需要缩小范围,因为我们无法展示所有这些。
我的第一个想法是向onload注入一个javascript,并进行快速重定向,但是,精明的用户仍然可以通过Fiddler等网络工具访问完整的提供者列表。
我不倾向于为每个声明提供商的应用添加依赖合作伙伴信任,并在我的应用中使用某些业务逻辑将用户发送到具有较短列表的相应网址。不过,这更令人头疼。
有关如何实现这一点的任何想法?在ADFS 2.0中,您可以手动编辑aspx来处理此问题。
答案 0 :(得分:1)
您可以使用set-adfsclaimsprovidertrust cmdlet和OrganizationalAccountSuffix参数在每个CP信任上启用组织后缀。 https://technet.microsoft.com/en-us/library/dn479371.aspx包含cmdlet的详细信息。这在2012 R2 AD FS之后可用。另见https://technet.microsoft.com/en-us/library/dn280950(v=ws.11).aspx。
然后,当用户最终访问AD FS并且需要HRD时,他们将看不到CP列表,但会被要求输入UPN。根据后缀,它们被重定向。