
針對 Active Directory 同盟服務 Idp 起始的登入進行疑難排解

Active Directory 同盟服務 (AD FS) 登入頁面可以用來檢查驗證是否運作中。 此測試是藉由瀏覽至頁面並登入來完成。 此外,您也可以使用登入頁面,來驗證是否已列出所有 SAML 2.0 信賴憑證者。

啟用 Idp 起始的登入頁面

根據預設,Windows 2016 中的 AD FS 不會啟用登入頁面。 若要啟用此頁面,您可以使用 PowerShell 命令 Set-AdfsProperties。 請使用下列程序來啟用此頁面:

  1. 請開啟 Windows PowerShell。

  2. 輸入 Get-AdfsProperties 並點擊 Enter 鍵。

  3. 驗證 EnableIdpInitiatedSignonPage 屬性是否設定為 false。

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. 在 PowerShell 中,輸入 Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

  5. PowerShell 不會提供命令 Set-AdfsProperties 的確認。 若要確認 EnableIdpInitatedSignonPage 屬性設定為 true,請再次輸入 Get-AdfsProperties 命令,並檢查屬性的值。

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.


使用下列程序,透過 Idp 起始的登入頁面測試 AD FS 驗證。

  1. 開啟網頁瀏覽器,然後移至 Idp 登入頁面。 您的 URL 看起來可能像 https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx

  2. 系統應該會提示您登入。 輸入您的認證。

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. 如果程序成功,您就會登入。


您可以藉由確定 AD FS 伺服器的 URL 新增至網際網路選項的近端內部網路區域,來測試無縫的登入體驗。 請使用下列程序:

  1. 在 Windows 10 用戶端上,選取 [開始] 並輸入「網際網路選項」,然後選取 [網際網路選項]

  2. 選取 [安全性] 索引標籤、選取 [近端內部網路],然後選取 [網站]

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. 選取進階

  4. 輸入您的 URL,然後選取 [新增]。 選取 [關閉]

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. 選取 [確定]。 然後,選取 [確定] 以關閉網際網路選項。

  6. 開啟網頁瀏覽器並移至 Idp 登入頁面。 您的 URL 看起來可能像 https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx

  7. 選取 [登入] 按鈕。 您應該會自動登入,且系統不會提示您輸入認證。

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.


若使用宣告提供者信任不是僅使用 WS-同盟被動端點所設定的,則無法搭配該信任使用 AD FS 登入頁面來起始登入。 註冊信賴憑證者 (例如 ClaimsXRay),以驗證 WS-同盟宣告提供者信任是否如預期般運作。
