ADFSv3 で authz コード許可フローを実行しています。
AcquireToken を実行すると、通常の html Web ブラウザー認証プロンプトが開始されますが、何らかの理由で/adfs/oauth2/authorize/wia?、Windows 統合ログイン ボックスを表示する次のエンドポイントにリダイレクトされます。
質問:
これは、ADFS が提供する ntml/sso のようなものですか?
最初の HTML Web ブラウザーを取り除き、代わりに Windows ログイン ボックスを直接表示することは可能ですか? 2 つの認証プロンプト (1 つは無効、1 つは有効) を持つ分割パーソナリティのように見えます。
AcquireToken フローを実行しているクライアント コンピューターはドメインに参加していますか? そうではない可能性が高いです。Windows 統合認証 (Kerberos) を試行し、NTLM (表示されている Windows 資格情報収集ダイアログ) にフォールバックしているようです。
ADFS グローバル認証ポリシー (Set/Get-AdfsGlobalAuthenticationPolicy PowerShell コマンドレット) を使用するか、MMC スナップインの認証ポリシー ノードを使用して、ADFS が提供する認証方法を構成できます。Web ベースの資格情報収集エクスペリエンスを使用するには、グローバル認証ポリシーでイントラネットとエクストラネットの両方の場所に対して「フォーム認証」が有効になっていることを確認してください。必要に応じて、グローバル認証ポリシーで Windows 統合認証を無効にすることもできます。
イントラネットの場所でフォーム認証と WIA の両方が有効になっている場合、クライアントのユーザー エージェント/ブラウザーが WIA 対応であれば、ADFS は WIA の使用を優先します。Get-AdfsProperties コマンドレットを使用して、WIA 対応ユーザー エージェントの一覧を表示できます (WIACapableUserAgents 設定を探します)。通常、IE などのブラウザは WIA に対応しています。このリストにないユーザー エージェントの場合、ADFS は自動的にフォーム認証を使用するようにフォールバックします。