多重身份验证和外部身份验证提供程序自定义
在 AD FS 中,现成提供了对多重身份验证的支持。 例如,可以配置 AD FS 以将内置的证书身份验证用作第二重身份验证。 此外还可以使用外部身份验证提供程序。 这种方法可以使 AD FS 与其他服务(如 Azure 多重身份验证)集成,你也可以开发自己的提供程序。 请参阅 解决方案指南:使用多重访问控制管理风险 获取有关如何通过使用 AD FS 注册外部身份验证提供程序的详细信息。
外部身份验证提供程序应当使用 AD FS 提供的 .css 文件中定义的类来创建身份验证的用户界面。 可以使用以下 cmdlet 导出默认 Web 主题,并检查用户界面类和 .css 文件中定义的元素。 可以在外部身份验证提供程序的登录用户界面开发中使用 .css 文件。
Export-AdfsWebTheme -Name default -DirectoryPath C:\theme
以下示例显示了由外部身份验证提供商开发的一个登录用户界面,它以红色突出显示。 该用户界面使用了 AD FS .css 文件中的 UI 类。
在编写新的自定义身份验证方法之前,请先研究 AD FS 主题和样式定义,以了解创建要求的内容。
- 自定义身份验证方法仅在 AD FS 登录页面上而不是在完整的页面上创建 HTML 片段。 请使用 AD FS 样式定义,以获得一致的外观和行为。
AD FS 管理员可以自定义 AD FS 样式。 不要对你自己的样式进行硬编码。 请尽可能尝试使用 AD FS 样式。
出厂时,AD FS 样式创建为一个从左到右 (LTR) 样式和一个右到左 (RTL) 样式。 管理员可以自定义这两种样式,并可以通过 Web 主题定义提供特定于语言的样式。 每个样式表都具有三个部分及其各自的备注:
主题样式 - 不应而且不能使用这些样式。 这些样式是为了在所有页面上定义主题。 可以特意通过元素 ID 定义它们,这样就不会重复使用它们。
常见样式 - 这些样式是应该用于你的内容的样式。
外形规格样式 - 这些样式是针对不同外形规格的。 你应该了解此部分以确保你的内容能够适应不同的外形因素,例如手机和平板电脑。
有关详细信息,请参阅解决方案指南:使用多重访问控制管理风险和操作实例指南:使用适用于敏感应用程序的附加多重身份验证管理风险。