为 ADFS 3.0 或 4.0 启用集成 Windows 认证

完成此任务以在 Active Directory Federation Services (ADFS) 3.0 或 4.0 上启用集成 Windows 认证 (IWA)。

过程

在 ADFS 服务器上，以管理员身份运行 PowerShell。
使用以下 PowerShell 命令查看当前的 ADFS 设置：
```
$FormatEnumerationLimit=-1
Get-ADFSProperties
```
如果有 Notes 客户端或 Chrome 浏览器用户，请使用以下 PowerShell 命令关闭认证的扩展保护：
```
Set-ADFSProperties –ExtendedProtectionTokenCheck None
```
使用以下 PowerShell 命令来指定可以参与 IWA 的用户代理（客户端和浏览器）：
1. 确定当前使用的用户代理。
```
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
```
  记录命令的输出。
2. 指定可以参与 IWA 的用户代理：
```
Set-ADFSProperties -WIASupportedUserAgents @("<user_agent>", "<user_agent>","<user_agent>")
```
  其中 "<user_agent>" 是在上一步的输出中记录的每个用户代理。
  注：如果要为 Notes 联合登录配置 IWA，那么还必须指定嵌入在 Notes 客户端中的浏览器。对于 Notes V10 和更低版本的客户端，指定 Mozilla/4.0。对于 Notes V11 和更高版本的客户端，指定 Mozilla/5.0。
  例如：
```
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client","MS_WorkFoldersClient" ,"=~Windows\s*NT.*Edge", "Firefox/25.0", "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0")
```
3. 验证上一步中指定的用户代理是否已配置：
```
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
```
再次使用以下 PowerShell 命令来确认设置更改：
```
$FormatEnumerationLimit=-1
Get-ADFSProperties
```
完成以下步骤，将 ADFS 设置为使用 IWA：
- 对于 ADFS 4.0：
  1. 打开 ADFS 管理。
  2. 单击服务 > 认证方法。
  3. 单击编辑主要认证方法。
  4. 在“主要认证”选项卡中的“内部网”部分，选择 Windows 认证。可以选择表单认证。表单认证允许无法使用 IWA 的用户（例如 Linux 和 Mac 用户）通过 SAML 进行认证。
- 对于 ADFS 3.0：
  1. 打开 ADFS 管理。
  2. 单击认证策略。
  3. 单击编辑全局主要认证。
  4. 在主要认证，全局设置，认证方法中，单击编辑。
  5. 在“内部网”部分，选择 Windows 认证。可以选择表单认证。表单认证允许无法使用 IWA 的用户（例如 Linux 和 Mac 用户）通过 SAML 进行认证。
重新启动 ADFS 服务。