正在啟用 ADFS 3.0 或 4.0 的整合式 Windows 驗證

完成此作業,以啟用 Active Directory Federation Services (ADFS) 3.0 或 4.0 上的整合式 Windows 鑑別 (IWA)。

程序

  1. 在 ADFS 伺服器上,以管理員身分執行 PowerShell。
  2. 使用下列 PowerShell 指令來檢視現行的 ADFS 設定: 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  3. 如果您有 Notes 用戶端或 Chrome 瀏覽器使用者,請使用下列 PowerShell 指令,關閉鑑別的延伸保護: 
    Set-ADFSProperties –ExtendedProtectionTokenCheck None
  4. 使用下列 PowerShell 指令,指定可以參與 IWA 的使用者代理程式(用戶端及瀏覽器)。新增您所使用但在清單上遺漏的任何瀏覽器。IBM Notes 9.0.1 中的內嵌瀏覽器是 Mozilla 4.0。內嵌瀏覽器搭配使用 Notes 聯合登入。 
    Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Firefox/25.0", "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0")
  5. 再次使用下列 PowerShell 指令來確認設定變更: 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  6. 完成下列步驟,將 ADFS 設定為使用 IWA:
    • 針對 ADFS 4.0:
      1. 開啟「ADFS 管理」。
      2. 按一下「服務 > 鑑別方法」。
      3. 按一下「編輯主要鑑別方法」
      4. 在內部網路區段的「主要」鑑別標籤中,選取「Windows 鑑別」。選擇性地選取「表單鑑別」。「表單鑑別」可讓無法使用 IWA 的使用者(例如 Linux 及 Mac 使用者)透過 SAML 進行鑑別。
    • 針對 ADFS 3.0:
      1. 開啟「ADFS 管理」。
      2. 按一下「鑑別原則」
      3. 按一下「編輯廣域主要鑑別」
      4. 「主要鑑別、廣域設定、驗證方法」中,按一下「編輯」
      5. 在內部網路區段中,選取「Windows 鑑別」。選擇性地選取「表單鑑別」。「表單鑑別」可讓無法使用 IWA 的使用者(例如 Linux 及 Mac 使用者)透過 SAML 進行鑑別。
  7. 重新啟動 ADFS 服務。