如何限制ADFS中Home Realm Discovery页面上列出的声明提供程序?
问题描述:
我在Windows Server 2012 R2上使用ADFS 3.0如何限制ADFS中Home Realm Discovery页面上列出的声明提供程序?
我为多个组织设置了用于联合的ADFS。我的组织中有一个ADFS实例,声明提供程序信任其他ADFS实例。除了当我在ADFS登录页面时,整体体验是好的和功能性的,所有声明提供者都被列出。我需要缩小这个范围,因为我们无法展示所有这些。
我首先想到的是注入一个javascript到onload事件,做一个快速的重定向,然而,精明的用户仍然可以访问供应商的完整列表,通过诸如Fiddler网络工具。
我不是朝着增加了依托合作伙伴的信任,以我的应用程序的每个要求供应商,并使用一些业务逻辑在我的应用程序向用户发送到适当的URL,将有一个更短的清单倾斜。不过,这更像是一个维护头痛。
对此应该如何实现的任何想法?在ADFS 2.0中,您可以手动编辑aspx来处理此问题。
答
您可以启用用设置adfsclaimsprovidertrust cmdlet和OrganizationalAccountSuffix参数每个CP信任的组织后缀。 https://technet.microsoft.com/en-us/library/dn479371.aspx具有cmdlet的详细信息。这是在2012 R2 AD FS之后提供的。请参阅https://technet.microsoft.com/en-us/library/dn280950(v=ws.11).aspx。
然后,当用户最终访问AD FS和人力资源开发需要,他们不会看到CP列表中,但会被要求输入一个UPN。基于后缀,它们被重定向。