Se solicitan repetidamente credenciales a un usuario federado durante el inicio de sesión en Microsoft 365, Azure o Intune

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Importante

Este artículo contiene información que muestra cómo ayudar a reducir la configuración de seguridad o cómo desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, se recomienda evaluar los riesgos asociados a la implementación de esta solución alternativa en un entorno determinado. Si implementa esta solución alternativa, siga los pasos adicionales adecuados para ayudar a proteger el equipo.

Problema

Se solicitan repetidamente credenciales a un usuario federado cuando intenta autenticarse en el punto de conexión de servicio de Servicios de federación de Active Directory (AD FS) (AD FS) durante el inicio de sesión en un servicio en la nube de Microsoft, como Microsoft 365, Microsoft Azure o Microsoft Intune. Cuando el usuario se cancela, el usuario recibe el mensaje de error Acceso denegado .

Causa

El síntoma indica un problema con la autenticación integrada de Windows con AD FS. Este problema puede producirse si se cumplen una o varias de las condiciones siguientes:

  • Se usó un nombre de usuario o una contraseña incorrectos.

  • La configuración de autenticación de Internet Information Services (IIS) se configura incorrectamente en AD FS.

  • El nombre de entidad de seguridad de servicio (SPN) asociado a la cuenta de servicio que se usa para ejecutar la granja de servidores de federación de AD FS se pierde o está dañado.

    Nota:

    Esto solo se produce cuando AD FS se implementa como una granja de servidores de federación y no se implementa en una configuración independiente.

  • Protección ampliada para la autenticación identifica uno o varios de los siguientes elementos como origen de un ataque man-in-the-middle:

    • Algunos exploradores de Internet de terceros
    • El firewall de red corporativa, el equilibrador de carga de red u otro dispositivo de red publica el servicio de federación de AD FS en Internet de forma que los datos de carga IP puedan volver a escribirse. Esto posiblemente incluya los siguientes tipos de datos:

      • Puente de capa de sockets seguros (SSL)

      • Descarga de SSL

      • Filtrado de paquetes con estado

        Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

        2510193 escenarios admitidos para usar AD FS para configurar el inicio de sesión único en Microsoft 365, Azure o Intune

    • Se instala una aplicación de supervisión o descifrado SSL o está activa en el equipo cliente.

  • La resolución del sistema de nombres de dominio (DNS) del punto de conexión de servicio de AD FS se realizó a través de la búsqueda de registros CNAME en lugar de a través de una búsqueda de registros A.

  • Windows Internet Explorer no está configurado para pasar la autenticación integrada de Windows al servidor de AD FS.

Antes de empezar a solucionar problemas

Compruebe que el nombre de usuario y la contraseña no son la causa del problema.

  • Asegúrese de que se usa el nombre de usuario correcto y que está en formato de nombre principal de usuario (UPN). Por ejemplo, johnsmith@contoso.com.

  • Asegúrese de que se usa la contraseña correcta. Para comprobar que se usa la contraseña correcta, es posible que tenga que restablecer la contraseña de usuario. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:

    Restablecer una contraseña de usuario

  • Asegúrese de que la cuenta no está bloqueada, ha expirado o se usa fuera de las horas de inicio de sesión designadas. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet: Administración de usuarios

Comprobación de la causa

Para comprobar que los problemas de Kerberos están causando el problema, omita temporalmente la autenticación Kerberos habilitando la autenticación basada en formularios en la granja de servidores de federación de AD FS. Para ello, siga estos pasos:

Paso 1: Editar el archivo de web.config en cada servidor de la granja de servidores de federación de AD FS

  1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, realice una copia de seguridad del archivo web.config.

  2. Haga clic en Inicio, en Todos los programas, en Accesorios, en Bloc de notasy, a continuación, haga clic en Ejecutar como administrador.

  3. En el menú Archivo, haga clic en Abrir. En el cuadro Nombre de archivo , escriba C:\inetpub\adfs\ls\web.config y, a continuación, haga clic en Abrir.

  4. En el archivo web.config, siga estos pasos:

    1. Busque la línea que contiene <el modo> de autenticación y cámbiela a <authentication mode="Forms"/>.

    2. Busque la sección que comienza con <localAuthenticationTypes> y, a continuación, cambie la sección para que la < entrada add name="Forms"> aparezca en primer lugar, como se indica a continuación:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. En el menú Archivo, haga clic en Guardar.

  6. En un símbolo del sistema con privilegios elevados, reinicie IIS mediante el comando iisreset.

Paso 2: Probar la funcionalidad de AD FS

  1. En un equipo cliente conectado y autenticado al entorno local de AD DS, inicie sesión en el portal de servicios en la nube.

    En lugar de una experiencia de autenticación sin problemas, debe experimentarse un inicio de sesión basado en formularios. Si el inicio de sesión se realiza correctamente mediante la autenticación basada en formularios, esto confirma que existe un problema con Kerberos en el servicio de federación de AD FS.

  2. Revierta la configuración de cada servidor de la granja de servidores de federación de AD FS a la configuración de autenticación anterior antes de seguir los pasos de la sección "Resolución". Para revertir la configuración de cada servidor de la granja de servidores de federación de AD FS, siga estos pasos:

    1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y elimine el archivo web.config.
    2. Mueva la copia de seguridad del archivo de web.config que creó en la sección "Paso 1: Editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS" a la carpeta C:\inetpub\adfs\ls\.

  3. En un símbolo del sistema con privilegios elevados, reinicie IIS mediante el comando iisreset.

  4. Compruebe que el comportamiento de autenticación de AD FS revierta al problema original.

Solución

Para resolver el problema de Kerberos que limita la autenticación de AD FS, use uno o varios de los métodos siguientes, según corresponda para la situación.

Resolución 1: Restablecer la configuración de autenticación de AD FS a los valores predeterminados

Si la configuración de autenticación de IIS de AD FS es incorrecta o la configuración de autenticación de IIS para servicios de federación de AD FS y servicios proxy no coinciden, una solución consiste en restablecer toda la configuración de autenticación de IIS a la configuración predeterminada de AD FS.

La configuración de autenticación predeterminada se muestra en la tabla siguiente.

Aplicación virtual Niveles de autenticación
Sitio web predeterminado/adfs Autenticación anónima
Sitio web predeterminado/adfs/ls Autenticación anónima, autenticación de Windows

En cada servidor de federación de AD FS y en cada proxy de servidor de federación de AD FS, use la información del siguiente artículo de Microsoft TechNet para restablecer las aplicaciones virtuales de IIS de AD FS a la configuración de autenticación predeterminada:

Configuración de la autenticación en IIS 7

Resolución 2: Corrección del SPN de la granja de servidores de federación de AD FS

Nota:

Pruebe esta resolución solo cuando AD FS se implemente como una granja de servidores de federación. No pruebe esta resolución en una configuración independiente de AD FS.

Para resolver el problema si el SPN del servicio AD FS se pierde o está dañado en la cuenta de servicio de AD FS, siga estos pasos en un servidor de la granja de servidores de federación de AD FS:

  1. Abra el complemento Administración de servicios. Para ello, haga clic en Inicio, todos los programas, herramientas administrativasy, a continuación, haga clic en Servicios.

  2. Haga doble clic en AD FS (2.0) Servicio de Windows.

  3. En la pestaña Iniciar sesión , tenga en cuenta la cuenta de servicio que se muestra en Esta cuenta.

  4. Haga clic en Inicio, Todos los programas, Accesorios, haga clic con el botón secundario en Símbolo del sistema y haga clic en Ejecutar como administrador.

  5. Escriba el comando siguiente y, a continuación, presione ENTRAR:

    SetSPN –f –q host/<AD FS service name>

    Nota:

    En este comando, <el nombre> del servicio de AD FS representa el nombre de servicio de nombre de dominio completo (FQDN) del punto de conexión de servicio de AD FS. No representa el nombre de host de Windows del servidor de AD FS.

    • Si se devuelve más de una entrada para el comando y el resultado está asociado a una cuenta de usuario distinta de la que se anotó en el paso 3, quite esa asociación. Para comprobarlo, ejecute el siguiente comando:

      SetSPN –d host/<AD FS service name><bad_username>

    • Si se devuelve más de una entrada para el comando y el SPN usa el mismo nombre que el nombre del equipo del servidor de AD FS en Windows, el nombre del punto de conexión de federación de AD FS es incorrecto. AD FS tiene que implementarse de nuevo. El FQDN de la granja de servidores de federación de AD FS no debe ser idéntico al nombre de host de Windows de un servidor existente.

    • Si el SPN aún no existe, ejecute el siguiente comando:

      SetSPN –a host/<AD FS service name><username of service account>

      Nota:

      En este comando, el <nombre de usuario de la cuenta> de servicio representa el nombre de usuario que se anotó en el paso 3.

  6. Después de realizar estos pasos en todos los servidores de la granja de servidores de federación de AD FS, haga clic con el botón derecho en Servicio de Windows de AD FS (2.0) en el complemento Administración de servicios y, a continuación, haga clic en Reiniciar.

Resolución 3: Resolución de problemas de protección ampliada para la autenticación

Para resolver el problema si Extended Protection for Authentication impide la autenticación correcta, use uno de los métodos recomendados siguientes:

  • Método 1: use Windows Internet Explorer 8 (o una versión posterior del programa) para iniciar sesión.
  • Método 2: Publique servicios de AD FS en Internet de forma que el puente SSL, la descarga SSL o el filtrado de paquetes con estado no vuelvan a escribir los datos de carga ip. La recomendación de procedimientos recomendados para este propósito es usar un servidor proxy de AD FS.
  • Método 3: Cierre o deshabilite aplicaciones de supervisión o descifrado ssl.

Si no puede usar ninguno de estos métodos, para solucionar este problema, la protección ampliada para la autenticación se puede deshabilitar para clientes pasivos y activos.

Solución alternativa: Deshabilitar la protección ampliada para la autenticación

Advertencia

No se recomienda usar este procedimiento como solución a largo plazo. Deshabilitar la protección ampliada para la autenticación debilita el perfil de seguridad del servicio de AD FS al no detectar determinados ataques man-in-the-middle en puntos de conexión de autenticación integrada de Windows.

Nota:

Cuando esta solución alternativa se aplica a la funcionalidad de aplicaciones de terceros, también debe desinstalar revisiones en el sistema operativo cliente para la protección extendida para la autenticación.

Para clientes pasivos

Para deshabilitar la protección extendida para la autenticación para clientes pasivos, realice el procedimiento siguiente para las siguientes aplicaciones virtuales IIS en todos los servidores de la granja de servidores de federación de AD FS:

  • Sitio web predeterminado/adfs
  • Sitio web predeterminado/adfs/ls

Para ello, siga estos pasos:

  1. Abra el Administrador de IIS y vaya al nivel que desea administrar. Para obtener información sobre cómo abrir el Administrador de IIS, vea Abrir el Administrador de IIS (IIS 7).
  2. En la vista Características, haga doble clic en Autenticación.
  3. En la página Autenticación, seleccione Autenticación de Windows.
  4. En el panel Acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione Desactivado en el menú desplegable Protección ampliada .

Para clientes activos

Para deshabilitar la protección ampliada para la autenticación para clientes activos, realice el procedimiento siguiente en el servidor de AD FS principal:

  1. Abra Windows PowerShell.

  2. Ejecute el siguiente comando para cargar el Windows PowerShell para el complemento de AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Ejecute el siguiente comando para deshabilitar la protección ampliada para la autenticación:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Volver a habilitar la protección extendida para la autenticación

Para clientes pasivos

Para volver a habilitar protección extendida para la autenticación para clientes pasivos, realice el procedimiento siguiente para las siguientes aplicaciones virtuales iis en todos los servidores de la granja de servidores de federación de AD FS:

  • Sitio web predeterminado/adfs
  • Sitio web predeterminado/adfs/ls

Para ello, siga estos pasos:

  1. Abra el Administrador de IIS y vaya al nivel que desea administrar. Para obtener información sobre cómo abrir el Administrador de IIS, vea Abrir el Administrador de IIS (IIS 7).
  2. En la vista Características, haga doble clic en Autenticación.
  3. En la página Autenticación, seleccione Autenticación de Windows.
  4. En el panel Acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione Aceptar en el menú desplegable Protección extendida .

Para clientes activos

Para volver a habilitar La protección extendida para la autenticación para clientes activos, realice el procedimiento siguiente en el servidor de AD FS principal:

  1. Abra Windows PowerShell.

  2. Ejecute el siguiente comando para cargar el Windows PowerShell para el complemento de AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Ejecute el siguiente comando para habilitar la protección ampliada para la autenticación:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Resolución 4: Reemplazar registros CNAME por registros A para AD FS

Use las herramientas de administración de DNS para reemplazar cada registro de alias DNS (CNAME) que se usa para el servicio de federación por un registro de dirección DNS (A). Además, compruebe o considere la configuración de DNS corporativa cuando se implemente una configuración dns de cerebro dividido. Para obtener más información sobre cómo administrar registros DNS, consulte Administración de registros DNS.

Resolución 5: Configuración de Internet Explorer como cliente de AD FS para el inicio de sesión único (SSO)

Para obtener más información sobre cómo configurar Internet Explorer para el acceso a AD FS, consulte Un usuario federado se le pide inesperadamente que escriba las credenciales de la cuenta profesional o educativa.

Más información

Para ayudar a proteger una red, AD FS usa protección ampliada para la autenticación. La protección ampliada para la autenticación puede ayudar a evitar ataques man-in-the-middle en los que un atacante intercepta las credenciales de un cliente y las reenvía a un servidor. La protección contra estos ataques es posible mediante channel binding works (CBT). El servidor puede requerir, permitir o no CBT cuando se establecen comunicaciones con clientes.

La configuración de AD FS ExtendedProtectionTokenCheck especifica el nivel de protección extendida para la autenticación compatible con el servidor de federación. Estos son los valores disponibles para esta configuración:

  • Requerir: el servidor está totalmente protegido. Se aplica la protección ampliada.
  • Permitir: esta es la configuración predeterminada. El servidor está parcialmente protegido. La protección ampliada se aplica a los sistemas implicados que se cambian para admitir esta característica.
  • Ninguno: el servidor es vulnerable. No se aplica la protección ampliada.

En las tablas siguientes se describe cómo funciona la autenticación para tres sistemas operativos y exploradores, en función de las distintas opciones de protección ampliada que están disponibles en AD FS con IIS.

Nota:

Los sistemas operativos cliente de Windows deben tener actualizaciones específicas instaladas para usar eficazmente las características de Protección ampliada. De forma predeterminada, las características están habilitadas en AD FS.

De forma predeterminada, Windows 7 incluye los archivos binarios adecuados para usar la protección ampliada.

Windows 7 (o versiones correctamente actualizadas de Windows Vista o de Windows XP)

Configuración Obligatoria Permitir (valor predeterminado) Ninguno
Cliente de Windows Communication Foundation (WCF) (todos los puntos de conexión) Obras Obras Obras
Internet Explorer 8 y versiones posteriores Obras Obras Obras
Firefox 3.6 Falla Falla Obras
Safari 4.0.4 Falla Falla Obras

Windows Vista sin las actualizaciones adecuadas

Configuración Obligatoria Permitir (valor predeterminado) Ninguno
Cliente WCF (todos los puntos de conexión) Falla Obras Obras
Internet Explorer 8 y versiones posteriores Obras Obras Obras
Firefox 3.6 Falla Obras Obras
Safari 4.0.4 Falla Obras Obras

Windows XP sin las actualizaciones adecuadas

Configuración Obligatoria Permitir (valor predeterminado) Ninguno
Internet Explorer 8 y versiones posteriores Obras Obras Obras
Firefox 3.6 Falla Obras Obras
Safari 4.0.4 Falla Obras Obras

Para obtener más información sobre la protección extendida para la autenticación, consulte el siguiente recurso de Microsoft:

Configuración de opciones avanzadas para AD FS 2.0

Para obtener más información sobre el cmdlet Set-ADFSProperties, vaya al siguiente sitio web de Microsoft:

Set-ADFSProperties

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.