为 ADFS 3.0 或 4.0 启用集成 Windows 认证

完成此任务以在 Active Directory Federation Services (ADFS) 3.0 或 4.0 上启用集成 Windows 认证 (IWA)。

过程

  1. 在 ADFS 服务器上,以管理员身份运行 PowerShell。
  2. 使用以下 PowerShell 命令查看当前的 ADFS 设置: 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  3. 如果有 Notes 客户机或 Chrome 浏览器用户,请使用以下 PowerShell 命令关闭认证的扩展保护: 
    Set-ADFSProperties –ExtendedProtectionTokenCheck None
  4. 使用以下 PowerShell 命令来指定可以参与 IWA 的用户代理(客户机和浏览器)。添加列表中缺少的您所使用的所有浏览器。IBM Notes 9.0.1 中的嵌入式浏览器为 Mozilla 4.0。嵌入式浏览器与 Notes 联合登录一起使用。 
    Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Firefox/25.0", "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0")
  5. 再次使用以下 PowerShell 命令来确认设置更改: 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  6. 完成以下步骤,将 ADFS 设置为使用 IWA:
    • 对于 ADFS 4.0:
      1. 打开 ADFS 管理。
      2. 单击服务 > 认证方法
      3. 单击编辑主要认证方法
      4. 在“主要认证”选项卡中的“内部网”部分,选择 Windows 认证。可以选择表单认证。表单认证允许无法使用 IWA 的用户(例如 Linux 和 Mac 用户)通过 SAML 进行认证。
    • 对于 ADFS 3.0:
      1. 打开 ADFS 管理。
      2. 单击认证策略
      3. 单击编辑全局主要认证
      4. 主要认证,全局设置,认证方法中,单击编辑
      5. 在“内部网”部分,选择 Windows 认证。可以选择表单认证。表单认证允许无法使用 IWA 的用户(例如 Linux 和 Mac 用户)通过 SAML 进行认证。
  7. 重新启动 ADFS 服务。