ADFS 3.0 представила поток кода авторизации OAuth2. У нас есть существующий сервер ADFS с существующими Проверяющими сторонами, Внешними поставщиками утверждений и Правилами утверждений. Новый поток OAuth связан со всем этим, требуя, чтобы идентификатор проверяющей стороны предоставлялся в качестве параметра «ресурса» при запросах к конечной точке авторизации OAuth ADFS.
Когда я нажимаю на эту конечную точку, ADFS показывает мне страницу выбора домашней области с опцией для каждого из моих настроенных поставщиков утверждений.
С потоками Saml и WS-Fed можно указать «домашнюю область» в запросе к ADFS, который обходит этот экран.
Возможно ли это с потоком OAuth2?
Если это так, это недокументировано из того, что я вижу, поэтому я предполагаю, что ответ отрицательный. Итак, если это не удается, какой обходной путь существует, если я не хочу предоставлять пользователю список поставщиков утверждений?
Вы можете обойти HRD следующим образом:
Set-AdfsRelyingPartyTrust -TargetName claimapp -ClaimsProviderName @("Active Directory")
В этом случае мы предполагаем, что пользователи всегда приходят из AD. Но выбор другой CP - это ваш выбор.
я использую это, чтобы сделать трюк: https://blog.kloud.com.au/2018/06/14/auto-redirect-adfs-4-0-home-realm-discovery-based-on-client-ip/
вместо IP я читаю referrer \ origin или любой другой параметр, который я могу ввести в строку запроса, он работает !!!