Un usuario federado se solicita repetidamente las credenciales cuando éste se conecta al extremo de AD FS 2.0 service durante el inicio de sesión en Office 365

Id. de artículo: 2461628 - Ver los productos a los que se aplica este artículo
Traducción automáticaAdvertencia: Artículo de Traducción Automática, vea la exención de responsabilidad.
Este artículo describe Microsoft Office 365, vista previa de Microsoft Office 365 y previo a la actualización Microsoft Office 365. La información sobre la vista previa de Office 365 en este artículo, incluidos todos los vínculos, se proporciona tal cual y está sujeta a cambios sin previo aviso.

¿No sabe con seguridad qué versión de Office 365 utilizas? Visite el sitio Web de Microsoft siguiente:
¿Estoy utilizando Office 365 después de la actualización de servicio?
(http://office.microsoft.com/redir/HA103982331.aspx)
Importante: En este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Expandir todo | Contraer todo

En esta página

PROBLEMA

Un usuario federado se pide repetidamente sus credenciales cuando el usuario intenta autenticarse en el extremo de servicio 2.0 de servicios de federación de Active Directory (AD FS) durante el inicio de sesión en Microsoft Office 365. Cuando el usuario cancela, el usuario recibe el mensaje de error siguiente:
Acceso denegado
Volver al principio | Enviar comentarios

CAUSA

El síntoma indica un problema con la autenticación integrada de Windows del anuncio servicio FS 2.0 que se utiliza para federar las identidades de los servicios de dominio de Active Directory (AD DS) a las identidades de Office 365 local. Este problema puede producirse si uno o más de las siguientes condiciones son verdaderas:
  • Existe un problema con las credenciales que se utilizan.
  • Configuración de autenticación de servicios de Internet Information Server (IIS) se configura incorrectamente en AD FS 2.0. O bien, no coinciden con la configuración de autenticación de IIS para AD FS 2.0 servicios de federación y Proxy.
  • El nombre principal de servicio (SPN) que está asociado con la cuenta de servicio que se utiliza para ejecutar el conjunto de servidores de federación de 2.0 de AD FS está perdido o dañado.

    Nota Esto produce sólo cuando se implementa como un conjunto de servidores de federación y no se implementa en una configuración independiente AD FS 2.0.
  • Uno o varios de estos procedimientos se identifican por la protección ampliada para la autenticación como una fuente de un ataque de comando man-in-the-middle:
    • Algunos exploradores de Internet de terceros
    • El servidor de seguridad de la red corporativa, equilibrador de carga de red u otro dispositivo de red publica AD FS 2.0 servicio de federación a Internet de manera que potencialmente pueden reescribir datos de la carga IP. Esto posiblemente incluye los siguientes tipos de datos:
      • Secure Sockets Layer (SSL) de puente
      • Descarga de SSL
      • El filtrado de paquetes con estado

        Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
        2510193
        (http://support.microsoft.com/kb/2510193/ )
        De las implicaciones del uso de AD FS 2.0 para implementar una única sesión en Office 365
    • Un control o una aplicación de descifrado de SSL está instalado o está activo en el equipo cliente
  • Resolución de sistema de nombres (DNS) del dominio del extremo AD FS 2.0 service se realizó a través de la búsqueda de registro CNAME en lugar de hacerlo a través de una búsqueda de registros.
  • Windows Internet Explorer no está configurado para pasar la autenticación integrada de Windows a AD FS 2.0 server.

Antes de diagnosticar problemas de Kerberos

Antes de solucionar aún más, compruebe que el nombre de usuario y la contraseña no son la causa del problema.
  • Asegúrese de que se utiliza el nombre de usuario correcto. Para tener acceso de usuario federado, el nombre principal de usuario (UPN) de la cuenta de usuario es el formato sólo apropiado.
  • Asegúrese de que se utiliza la contraseña correcta. Para comprobar que se utiliza la contraseña correcta, tendrá que restablecer la contraseña de usuario. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
    http://technet.Microsoft.com/en-us/library/cc754395.aspx
    (http://technet.microsoft.com/en-us/library/cc754395.aspx)
  • Asegúrese de que la cuenta no está bloqueada, caducada o fuera de horas de inicio de sesión designado. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
    http://technet.Microsoft.com/en-us/library/cc754661.aspx
    (http://technet.microsoft.com/en-us/library/cc754661.aspx)
Volver al principio | Enviar comentarios

Compruebe la causa

Para comprobar que los problemas de Kerberos están causando el problema, omitir temporalmente la autenticación Kerberos al habilitar la autenticación basada en formularios en la granja de servidores de federación de 2.0 de AD FS. Para ello, siga estos pasos:

Paso 1: Editar el archivo web.config en cada servidor en el anuncio conjunto de servidores de servicio de federación de FS 2.0
  1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, haga una copia de seguridad del archivo web.config.
  2. Haga clic en Inicio, haga clic en Todos los programas, haga clic en Accesorios, haga clic en Bloc de notasy, a continuación, haga clic en Ejecutar como administrador.
  3. En el Archivo menú, haga clic en Abierto. En el Nombre de archivo cuadro, escriba C:\inetpub\adfs\ls\web.configy, a continuación, haga clic en Abierto.
  4. En el archivo web.config, siga estos pasos:
    1. Busque la línea que contiene <authentication mode=""></authentication>y, a continuación, cámbielo a <authentication mode="Forms"></authentication>.
    2. Busque la sección que comienza con <localAuthenticationTypes></localAuthenticationTypes>y, a continuación, cambie la sección para que el <add name="Forms"></add> entrada que se muestra en primer lugar, como sigue:
      <localAuthenticationTypes>
      </localAuthenticationTypes><add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add>
  5. En el Archivo menú, haga clic en Guardar.
  6. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
Después de este procedimiento se realiza en cada servidor en el conjunto de servidores de federación de 2.0 de AD FS, funcionalidad de prueba de AD FS 2.0.

Paso 2: Funcionalidad pruebas AD FS 2.0
  1. En un equipo cliente que tiene conectado y autenticado a los locales en el entorno de AD DS, inicio de sesión en el (portal de Office 365https://portal.microsoftonline.com
    (https://portal.microsoftonline.com)
    ), escriba la cuenta de usuario federado y, a continuación, haga clic en elIniciar sesión en Sudominio vínculo.

    En lugar de una experiencia de autenticación transparente, un signo de basada en formularios debe ser experimentado. Si inicio de sesión es correcto mediante la autenticación basada en formularios, esto confirma que existe un problema con Kerberos en la de AD FS 2.0 servicio de federación.
  2. Revertir la configuración de cada servidor en el conjunto de servidores de federación de 2.0 de AD FS para la configuración de autenticación anterior antes de seguir los pasos descritos en la sección "Solución". Para revertir la configuración de cada servidor en el conjunto de servidores de federación de 2.0 de AD FS, siga estos pasos:
    1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, elimine el archivo web.config.
    2. Mover la copia de seguridad del archivo web.config que creó en el "paso 1: editar el archivo web.config en cada servidor de AD FS 2.0 granja de servidores de servicio de federación" sección a la carpeta C:\inetpub\adfs\ls\.
  3. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
  4. Compruebe que el comportamiento de AD FS 2.0 autenticación vuelve a la autenticación de bucle.
Volver al principio | Enviar comentarios

SOLUCIÓN

Para resolver el problema de Kerberos que la autenticación de límites AD FS 2.0, utilice uno o varios de los métodos siguientes, según la situación.

Solución 1: Configuración de autenticación restablecer AD FS 2.0 a los valores predeterminados

Si la configuración de autenticación de IIS de AD FS 2.0 es incorrectos o no coinciden con la configuración de autenticación de IIS para AD FS 2.0 servicios de federación y los servicios de Proxy, es una solución restablecer todas las configuraciones de autenticación de IIS para todos los AD FS 2.0 valores predeterminados.

En cada servidor de federación de 2.0 de AD FS y en cada servidor proxy server 2.0 federación AD FS, utilice la información en el siguiente artículo de Microsoft TechNet para restablecer las aplicaciones virtuales de IIS de AD FS 2.0 para la configuración de autenticación predeterminada:
http://technet.Microsoft.com/en-us/library/cc733010 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc733010(WS.10).aspx)
La configuración de autenticación predeterminada se enumeran en la tabla siguiente.
Contraer esta tablaAmpliar esta tabla
Aplicaciones virtualesNivel o niveles de autenticaciónUso de cliente
Sitio Web de forma predeterminada/adfsAutenticación anónimaSolicitantes activos de AD FS 2.0 (aplicaciones de cliente enriquecido)
Sitio Web, adfs/ls de forma predeterminadaAutenticación anónima
Autenticación de Windows		Solicitantes pasivos de AD FS 2.0 (los exploradores web)
Para obtener más información acerca de cómo resolver este error, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
907273
(http://support.microsoft.com/kb/907273/ )
Solución de errores de HTTP 401 en IIS
871179
(http://support.microsoft.com/kb/871179/ )
Recibe un mensaje de error "Error HTTP 401.1 - No autorizado: se ha denegado el acceso porque las credenciales no son válidas" cuando intenta tener acceso a un sitio web que forma parte de un grupo de aplicaciones de IIS 6.0

Solución 2: Corregir el anuncio conjunto de servidores de servicio de federación de 2.0 FS SPN

NotaPruebe esta solución sólo cuando AD FS 2.0 se implementa como un conjunto de servidores de servicio de federación. Esta resolución no se trate de un anuncio configuración independiente de FS 2.0.

Para resolver el problema si el SPN de AD FS 2.0 servicio está perdido o dañado en la cuenta de AD FS 2.0 service, siga estos pasos en un servidor en el conjunto de servidores de federación de 2.0 de AD FS:
  1. Abra el complemento Administración de servicios. Para ello, haga clic en Inicio, haga clic en Todos los programas, haga clic en Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga doble clic en Servicio de AD FS 2.0 de Windows.
  3. En el Inicio de sesión ficha, tenga en cuenta la cuenta de servicio que se muestra en Esta cuenta.
  4. Haga clic en Inicio, haga clic en Todos los programas, haga clic en Accesorios, haga clic en Símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.
  5. Tipo SetSPN ? f ? q host /<AD fs="" service="" name=""></AD>, y, a continuación, presione ENTRAR.

    NotaEn este comando, <AD fs="" service="" name=""></AD> representa el nombre de servicio de nombre de dominio completo (FQDN) del nombre del extremo AD FS 2.0 service. No representa el nombre de host de Windows de AD FS 2.0 server.
    • Si se devuelve más de una entrada para el comando y el resultado está asociado a una cuenta de usuario distinto del que se anotó en el paso 3, quitar dicha asociación. Para ello, ejecute el comando siguiente:
      SetSPN ? d ? host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Si se devuelve una entrada para el comando y usa el SPN varios el mismo nombre como el nombre del equipo de la de AD FS 2.0 server en Windows, el nombre del extremo de la federación de AD FS 2.0 es incorrecta. AD FS 2.0 se tiene que implementar de nuevo. El nombre completo de la granja de servidores de federación de 2.0 de AD FS no debe ser idéntico al nombre de host de Windows de un servidor existente.
    • Si no existe ya el SPN, ejecute el comando siguiente:
      SetSPN ?a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      NotaEn este comando, <username of="" service="" account=""></username> representa el nombre de usuario que se anotó en el paso 3.
  6. Después de estos pasos se realizan en todos los servidores en la granja de servidores de federación de 2.0 de AD FS, pulse el botón derecho Servicio de AD FS 2.0 de Windows en el complemento Administración de servicios y haga clic en Reiniciar.

Resolución 3: Resolver protección ampliada para los problemas de autenticación

Para resolver el problema si protección ampliada para la autenticación se detecta un posible ataque de medio del comando man-in-the, utilice uno de los métodos siguientes:
  • Método 1: Utilice Windows Internet Explorer 8 (o una versión posterior del programa) para Office 365 identidad federada-servicios de acceso.
  • Método 2: Publica AD FS 2.0 servicios a Internet de manera que el puente SSL, descarga de SSL o filtrado de paquetes con estado no reescribir datos de la carga IP. La recomendación de mejores prácticas para este propósito es utilizar un AD FS 2.0 Proxy Server.
  • Método 3: Cerrar o deshabilitar las aplicaciones de supervisión o descifrado de SSL.
Si no puede utilizar cualquiera de estos métodos, para evitar este problema, puede deshabilitar protección ampliada para la autenticación. Para ello, realice el procedimiento siguiente para las siguientes aplicaciones virtuales de IIS en todos los servidores en la granja de servidores de federación de 2.0 de AD FS.
Contraer esta tablaAmpliar esta tabla
Aplicaciones virtualesUso de cliente
Sitio Web de forma predeterminada/adfsSolicitantes activos de AD FS 2.0 (aplicaciones de cliente enriquecido)
Sitio Web, adfs/ls de forma predeterminadaSolicitantes pasivos de AD FS 2.0 (los exploradores web)
AdvertenciaNo es recomendable que utilice este procedimiento como una solución a largo plazo. Deshabilitar protección ampliada para la autenticación debilita el perfil de seguridad de AD FS 2.0 service al no detectar ciertos ataques man-in-the-middle en los extremos de la autenticación de Windows integrada.

Para deshabilitar la protección ampliada para la autenticación, siga estos pasos:
  1. Obtener acceso a la configuración avanzada para la autenticación de Windows mediante el siguiente artículo de Microsoft TechNet:
    http://technet.Microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Conjunto Protección extendida a Apagadoy, a continuación, haga clic en ACEPTAR.
Cuando se aplica la solución para la funcionalidad de la aplicación de terceros, también debe desinstalar las revisiones en el sistema operativo de cliente de protección ampliada para la autenticación. Para obtener más información acerca de las revisiones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Protección extendida para la autenticación
Para volver a habilitar la protección ampliada para la autenticación, realice el procedimiento siguiente para las aplicaciones virtuales de IIS que están se mencionado anteriormente en todos los servidores en la de AD FS 2.0 conjunto de servidores de federación. Para ello, siga estos pasos:
  1. Obtener acceso a la configuración avanzada para la autenticación de Windows mediante el siguiente artículo de Microsoft TechNet:
    http://technet.Microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Conjunto Protección extendida a Aceptary, a continuación, haga clic en ACEPTAR.
  3. Vuelva a instalar las revisiones necesarias en el sistema operativo de cliente de protección ampliada para la autenticación. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    968389
    (http://support.microsoft.com/kb/968389/ )
    Protección extendida para la autenticación

Resolución 4: Corregir el anuncio de DNS CNAME

Utilizar herramientas de administración de DNS para reemplazar cada registro de DNS Alias (CNAME) con un registro de dirección (A) de DNS. Además, compruebe o considere la posibilidad de configuración de DNS corporativa cuando se implementa una configuración de DNS de división del núcleo. Para obtener más información acerca de cómo administrar registros DNS, consulte el siguiente sitio Web de Microsoft TechNet:
http://technet.Microsoft.com/en-us/library/bb727018.aspx
(http://technet.microsoft.com/en-us/library/bb727018.aspx )

Resolución 5: Configurar Internet Explorer como un AD FS 2.0 cliente para el inicio de sesión único (SSO)

Para obtener más información acerca de cómo configurar Internet Explorer para AD FS 2.0 acceso, consulte el siguiente artículo en Microsoft Knowledge Base:
2535227
(http://support.microsoft.com/kb/2535227/ )
Un usuario federado se pide inesperadamente al introducir sus credenciales cuando tienen acceso a un recurso de Office 365
Volver al principio | Enviar comentarios

Obtener más información

Para ayudar a proteger una red, AD FS 2.0 utiliza protección ampliada para la autenticación. La protección extendida para la autenticación puede ayudar a evitar los ataques de comando man-in-the-middle en el que un atacante intercepta las credenciales de un cliente y los reenvía a un servidor. Protección contra estos ataques es posible mediante el uso de obras de enlace de canal (CBT). CBT puede ser necesario, permite o no requerida por el servidor cuando se establecen comunicaciones con los clientes.

El ExtendedProtectionTokenCheck Configuración de AD FS especifica el nivel de protección extendida para la autenticación que es compatible con el servidor de federación. Estos son los valores disponibles para esta configuración:
  • Requieren: El servidor esté totalmente consolidado. Se exige la protección extendida.
  • Permitir: Se trata de la configuración predeterminada. El servidor está parcialmente reforzado. Se exige la protección extendida para los sistemas implicados que se cambian para admitir esta característica.
  • Ninguno: El servidor es vulnerable. No se exige protección extendida.

Las siguientes tablas describen cómo funciona la autenticación para los tres sistemas operativos y exploradores, dependiendo de las diferentes opciones de protección ampliada que están disponibles en AD FS 2.0 con IIS.

Nota Sistemas operativos de cliente de Windows debe tener actualizaciones específicas que están instaladas para utilizar eficazmente las características de protección ampliada. De forma predeterminada, las características están habilitadas en AD FS 2.0. Estas actualizaciones están disponibles en el siguiente artículo de Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Protección extendida para la autenticación
De forma predeterminada, Windows 7 incluye los archivos binarios adecuados para utilizar la protección extendida.

Windows 7 (o actualizadas correctamente las versiones de Windows Vista o Windows XP)

Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Comunicación de Windows
Cliente de Foundation (WCF) (todos los extremos)		WorksWorksWorks
Internet Explorer 8WorksWorksWorks
3.6 De FirefoxSe produce un errorSe produce un errorWorks
Safari 4.0.4Se produce un errorSe produce un errorWorks

Windows Vista sin actualizaciones adecuadas

Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Cliente de WCF (todos los extremos)Se produce un errorWorksWorks
Internet Explorer 8WorksWorksWorks
3.6 De FirefoxSe produce un errorWorks Works
Safari 4.0.4Se produce un errorWorks Works

Windows XP sin actualizaciones adecuadas

Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Internet Explorer 8WorksWorksWorks
3.6 De FirefoxSe produce un errorWorks Works
Safari 4.0.4Se produce un errorWorks Works
Para obtener más información acerca de protección ampliada para la autenticación, consulte los siguientes recursos de Microsoft:
968389
(http://support.microsoft.com/kb/968389/ )
Protección extendida para la autenticación
Configurar las opciones avanzadas de AD FS 2.0
(http://technet.microsoft.com/en-us/library/hh237448(WS.10).aspx)
Para obtener más información acerca del cmdlet Set-ADFSProperties , vaya al sitio Web de Microsoft siguiente:
Conjunto de ADFSProperties
(http://technet.microsoft.com/en-us/library/ee892317.aspx)

Vídeo: Credencial de bucle le pide al iniciar sesión en Office 365 con una identidad federada cuenta

Contraer esta imagenAmpliar esta imagen
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.ms/wqsfve
(http://aka.ms/wqsfve)
Contraer esta imagenAmpliar esta imagen

Vídeo: Los usuarios federados son piden repetidamente las credenciales y no se puede iniciar sesión a Office 365

Contraer esta imagenAmpliar esta imagen
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.ms/lifluf
(http://aka.ms/lifluf)
Contraer esta imagenAmpliar esta imagen
Volver al principio | Enviar comentarios

¿Aún necesita ayuda? Vaya a la Comunidad de Office 365
(http://community.office365.com/)
.

Los productos de otros fabricantes que analiza este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 2461628 - Última revisión: lunes, 11 de marzo de 2013 - Versión: 12.0
La información de este artículo se refiere a:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • Microsoft Office 365 Enterprise preview
  • Windows Azure Active Directory
Palabras clave: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2461628
(http://support.microsoft.com/kb/2461628/en-us/ )
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio