準備 Active Directory Federation Services (ADFS)

如果您的 IdP 是 Microsoft™ Active Directory Federation Services (ADFS)，則完成這些步驟以準備搭配 Domino 使用 ADFS。在 Domino® 中配置 SAML 之前，請確定您符合下列需求。

執行這項作業的原因和時機

這些步驟是根據 ADFS 4.0，如果您使用舊版，則步驟可能不同。

程序

驗證您符合下列需求：
- 已安裝及配置下列其中一個 ADFS 版本：
  - 2.0（隨附於 Windows Server 2008 R2）
  - 3.0（隨附於 Windows Server 2012 R2）
  - 4.0（隨附於 Windows Server 2016）
- ADFS 伺服器上的 Secure Sockets Layer (SSL) 憑證是由憑證管理中心 (CA) 簽署。CA 主要憑證應該依據網域原則部署到用戶端，這是 ADFS 最佳實務。
- 下列元件必須在相同的 Active Directory 網域中，除非 Active Directory 信任關係已就位：
  - ADFS 伺服器
  - 使用者記錄
  - 使用者從其中進行登入的用戶端電腦。（僅限整合式 Windows™ 鑑別）
驗證您的 ADFS 伺服器是否運作正常。關於步驟，請參閱 Microsoft 文章：「驗證 Federation Server 是否運作正常」。
移至 https://<ADFS server hostname>/adfs/ls/IdpInitiatedSignon.aspx 並測試使用者是否可以登入。
- 如果您看到錯誤：「無法顯示此頁面」，請在頁面上啟用 IdP 簽署：
  1. 在 ADFS 伺服器上的 Windows PowerShell 中，執行下列指令：
```
Get-AdfsProperties
```
  2. 查看輸出中的 EnableIdpInitiatedSignonPage 行是否為 False：
```
EnableIdpInitiatedSignonPage    :False
```
  3. 如果值為 False，請執行下列指令以將其設為 True：
```
set-ADfsProperties -EnableIdPInitiatedSignonPage $true
```
  4. 執行下列指令以確認變更：
```
Get-AdfsProperties
```
  5. 重新啟動 ADFS 服務。
- 如果您無法使用 Internet Explorer 登入，請驗證瀏覽器是否啟用「整合式 Windows 鑑別」：
  1. 在「網際網路選項 > 進階」中，驗證是否已勾選安全設定「啟用整合式 Windows 鑑別」。
  2. 在「網際網路選項 > 安全」中，按一下「網站」，然後按一下「進階」。將 ADFS 伺服器 URL (https://<ADFS server>) 新增至網站的清單。
驗證每個使用者的下列兩個欄位內容是否相符：
- Domino 名錄「人員」文件中的「網際網路位址」欄位。
- 使用者 ADFS 內容框中的「電子郵件」欄位。
註：雖然登入名稱看起來像是電子郵件位址，但是使用者登入名稱與他們的電子郵件位址不相同。