Un utilisateur fédéré est constamment invité pour les informations d'identification lors de la connexion à Office 365, Azure ou Windows Intune

Traductions disponibles Traductions disponibles
Numéro d'article: 2461628 - Voir les produits auxquels s'applique cet article
Important : Cet article contient des informations vous expliquant comment abaisser les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.
Agrandir tout | Réduire tout

Sommaire

PROBLÈME

Un utilisateur fédéré est constamment invité pour les informations d'identification lorsque l'utilisateur tente de s'authentifier sur le point de terminaison du service Active Directory Federation Services (ADFS) lors de l'authentification à un service de cloud Microsoft Office 365, Microsoft Azure ou Windows Intune. Lorsque l'utilisateur annule, l'utilisateur reçoit le message d'erreur suivant :
Accès refusé

CAUSE

Le symptôme indique un problème avec l'authentification Windows intégrée avec AD FS. Ce problème peut se produire si une ou plusieurs des conditions suivantes sont remplies :
  • Un mot de passe ou un nom d'utilisateur incorrect a été utilisé.
  • Paramètres d'authentification de Internet Information Services (IIS) sont configurés incorrectement dans AD FS.
  • Le nom principal de service (SPN) qui est associé avec le compte de service utilisé pour exécuter la batterie de serveurs de fédération AD FS est perdu ou endommagé.

    Remarque : Cela se produit uniquement lorsque AD FS est implémenté sous la forme d'une batterie de serveurs de fédération et non implémenté dans une configuration autonome.
  • Une ou plusieurs des éléments suivants sont identifiés par la Protection étendue pour l'authentification en tant que source d'une attaque man-in-the-middle :
    • Certains navigateurs tiers
    • Le pare-feu de réseau de l'entreprise, équilibrage de la charge réseau ou un autre périphérique réseau publie le Service de fédération AD FS à Internet de manière à ce que les données de charge utile IP peuvent potentiellement être réécrites. Cela peut inclure les types de données suivants :
      • Secure Sockets Layer (SSL) de pont
      • Le déchargement SSL
      • Le filtrage de paquets

        Pour plus d'informations, consultez l'article suivant de la Base de connaissances Microsoft :
        2510193Scénarios pris en charge pour configuration de l'authentification unique dans Office 365, Azure ou Windows Intune à l'aide de AD FS
    • Un contrôle ou une application de décryptage SSL n'est installée ou n'est active sur l'ordinateur client
  • Résolution de nom (DNS) de domaine du point de terminaison du service AD FS a été effectuée via la recherche d'enregistrement CNAME et non via une recherche d'enregistrement.
  • Windows Internet Explorer n'est pas configuré pour passer de l'authentification intégrée de Windows pour le serveur AD FS.

Avant de commencer la résolution des problèmes

Vérifiez que le nom d'utilisateur et le mot de passe ne sont pas la cause du problème.
  • Assurez-vous que le nom d'utilisateur correct est utilisé et qu'il est dans le format nom utilisateur principal (UPN). Par exemple, johnsmith@contoso.com.
  • Assurez-vous que le mot de passe correct est utilisé. Pour vérifier que le mot de passe est utilisé, il se peut que vous deviez réinitialiser le mot de passe. Pour plus d'informations, voir l'article Microsoft TechNet suivant :
    Réinitialiser un mot de passe utilisateur
  • Assurez-vous que le compte n'est pas verrouillé, expiré ou utilisé en dehors des heures d'ouverture de session désigné. Pour plus d'informations, voir l'article Microsoft TechNet suivant :
    Gestion des utilisateurs

Vérifier la cause

Pour vérifier que des problèmes Kerberos sont à l'origine du problème, pour contourner l'authentification Kerberos, l'activation de l'authentification basée sur les formulaires sur la batterie de serveurs de fédération AD FS. Pour ce faire, procédez comme suit :

Étape 1: Modifier le fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS
  1. Dans l'Explorateur Windows, recherchez le dossier C:\inetpub\adfs\ls\ et puis faites une copie de sauvegarde du fichier web.config.
  2. Cliquez sur Démarreret cliquez sur Tous les programmes, sur Accessoires, cliquez droit sur le bloc-notes, puis cliquez sur Exécuter en tant qu'administrateur.
  3. Sur le fichier menu, cliquez sur Ouvrir. Dans le nom de fichier , tapezC:\inetpub\adfs\ls\web.config, puis cliquez sur Ouvrir.
  4. Dans le fichier web.config, procédez comme suit :
    1. Recherchez la ligne qui contient <authentication mode=""> </authentication>, puis remplacez par <authentication mode="Forms"> </authentication>.
    2. Repérez la section qui commence par <localAuthenticationTypes> </localAuthenticationTypes>, puis modifiez la section afin que les <add name="Forms"></add> entrée est répertoriée en premier, comme suit :
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sur le fichier menu, cliquez sur Enregistrer.
  6. À une invite de commandes avec élévation de privilèges, redémarrer IIS à l'aide de la commande iisreset .
Étape 2: Fonctionnalité de Test AD FS
  1. Sur un ordinateur client qui est connecté et authentifié pour les locaux environnement AD DS, connectez-vous au portail de service cloud.

    Au lieu d'une expérience d'authentification transparente, une basée sur les formulaires sign-in doit être connue. Si la connexion est réussie à l'aide de l'authentification basée sur les formulaires, cela confirme l'existence d'un problème lié à Kerberos dans le Service de fédération AD FS.
  2. Rétablir la configuration de chaque serveur dans la batterie de serveurs de fédération AD FS pour les paramètres d'authentification précédent avant de suivre les étapes décrites dans la section « Résolution ». Pour revenir à la configuration de chaque serveur dans la batterie de serveurs de fédération AD FS, procédez comme suit :
    1. Dans l'Explorateur Windows, recherchez le dossier C:\inetpub\adfs\ls\, puis supprimez le fichier web.config.
    2. Déplacer la sauvegarde du fichier web.config que vous avez créé dans la « étape 1: modification du fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS » section dans le dossier C:\inetpub\adfs\ls\.
  3. À une invite de commandes avec élévation de privilèges, redémarrer IIS à l'aide de la commande iisreset .
  4. Vérifiez que le problème d'origine rétablit le comportement de l'authentification AD FS.

SOLUTION

Pour résoudre le problème de Kerberos qui limite l'authentification AD FS, utilisez une ou plusieurs des méthodes suivantes, en fonction de la situation.

Résolution 1: Paramètres de l'authentification de réinitialisation AD FS les valeurs par défaut

Réduire cette imageAgrandir cette image
assets folding start collapsed
Si les paramètres d'authentification AD FS IIS sont incorrects ou ne correspondent pas aux paramètres d'authentification IIS pour les Services de fédération AD FS et les Services Proxy, une solution consiste à réinitialiser tous les paramètres d'authentification IIS par défaut AD FS.

Les paramètres d'authentification par défaut sont répertoriés dans le tableau suivant.
Réduire ce tableauAgrandir ce tableau
Application virtuelleNiveau d'authentification
Site Web par défaut/adfsAuthentification anonyme
Par défaut Site Web/adfs/lsAuthentification anonyme
Authentification Windows
Sur chaque serveur de fédération AD FS et chaque serveur proxy de fédération AD FS, utilisez les informations dans l'article Microsoft TechNet ci-dessous pour réinitialiser les applications virtuelles AD FS IIS aux paramètres d'authentification par défaut :
Configuration de l'authentification dans IIS 7
Pour plus d'informations sur la façon de résoudre cette erreur, consultez les articles suivants de la Base de connaissances Microsoft :
907273 Dépannage des erreurs HTTP 401 dans IIS

871179 Vous recevez un message d'erreur « Erreur HTTP 401.1 - Non autorisé : accès refusé en raison d'informations d'identification non valides » lorsque vous essayez d'accéder à un site Web qui fait partie d'un pool d'applications IIS 6.0

Réduire cette imageAgrandir cette image
assets folding end collapsed

Résolution 2: Corriger la batterie de serveurs de fédération AD FS SPN

Réduire cette imageAgrandir cette image
assets folding start collapsed
Remarque Essayez cette solution uniquement lorsque AD FS est implémentée sous la forme d'une batterie de serveurs de fédération. N'essayez pas de cette solution dans une configuration autonome AD FS.

Pour résoudre le problème si le nom principal de service pour le service AD FS est perdu ou endommagé sur le compte de service AD FS, suivez ces étapes sur un serveur dans la batterie de serveurs de fédération AD FS :
  1. Ouvrez le composant logiciel enfichable Services. Pour ce faire, cliquez sur Démarrer, sur Tous les programmes, sur Outils d'administration, puis cliquez sur Services.
  2. Double-cliquez sur Service AD FS (2.0) sous Windows.
  3. Sur le de session onglet, notez le compte de service qui est affiché dans Ce compte.
  4. Cliquez sur Démarreret cliquez sur Tous les programmes, sur Accessoires, cliquez droit sur invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.
  5. Type Hôte de SetSPN ? f ? q /<AD fs="" service="" name=""></AD>, puis appuyez sur ENTRÉE.

    Remarque Dans cette commande, <AD fs="" service="" name=""></AD> représente le nom du service domaine pleinement qualifié (FQDN) nom du point de terminaison du service AD FS. Il ne représente pas le nom d'hôte Windows du serveur AD FS.
    • Si plus d'une entrée est renvoyée pour la commande, et le résultat est associé à un compte d'utilisateur différent de celui qui a été noté à l'étape 3, supprimer cette association. Pour ce faire, exécutez la commande suivante :
      SetSPN ? d hôte /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Si plus d'une entrée est renvoyée pour la commande et le SPN utilise le même nom que le nom d'ordinateur du serveur AD FS dans Windows, le nom de point de terminaison de fédération pour AD FS est incorrect. AD FS doit être implémenté de nouveau. Le nom de domaine complet de la batterie de serveurs de fédération AD FS ne doit pas être identique au nom d'hôte d'un serveur Windows.
    • Si le nom principal de service n'existe pas déjà, exécutez la commande suivante :
      SetSPN ? un hôte /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Remarque Dans cette commande, <username of="" service="" account=""></username> représente le nom d'utilisateur qui a été noté à l'étape 3.
  6. Une fois ces étapes sont exécutées sur tous les serveurs de la batterie de serveurs de fédération AD FS, droit AD FS (2.0) Windows Service dans le composant logiciel enfichable Gestion des Services, puis cliquez sur redémarrer.
Réduire cette imageAgrandir cette image
assets folding end collapsed

Résolution 3: Concerne les résoudre la Protection étendue pour l'authentification

Réduire cette imageAgrandir cette image
assets folding start collapsed
Recommandé de méthodes pour résoudre le problème si la Protection étendue pour l'authentification empêche la réussite de l'authentification, utilisez une des opérations suivantes :
  • Méthode 1: utiliser Windows Internet Explorer 8 (ou une version ultérieure du programme) pour vous connecter.
  • Méthode 2: publier des services AD FS sur Internet de manière à ce que le pontage SSL, le déchargement SSL ou le filtrage de paquets ne pas réécrire des données de charge utile IP. La recommandation des meilleures pratiques à cet effet consiste à utiliser un serveur de Proxy AD FS.
  • Méthode 3: fermer ou désactiver surveillance ou applications décryptage SSL.
Si vous ne pouvez pas utiliser une de ces méthodes, pour contourner ce problème, la Protection étendue pour l'authentification peut être désactivée pour les clients passifs et actifs.

Solution : Désactivez la Protection étendue pour l'authentification

Avertissement Il est déconseillé d'utiliser cette procédure comme solution à long terme. La désactivation de la Protection étendue pour l'authentification assouplit le profil de sécurité du service AD FS en détectant ne pas certaines attaques man-in-the-middle sur les points de terminaison de l'authentification Windows intégrée.

Remarque : Lors de cette solution de contournement est appliquée pour les fonctionnalités de l'application tierce, vous devez désinstaller également les correctifs sur le système d'exploitation client pour la Protection étendue pour l'authentification. Pour plus d'informations sur les correctifs, consultez l'article suivant de la Base de connaissances Microsoft :
968389 Protection étendue pour l'authentification
Pour les clients passifs
Pour désactiver la Protection étendue pour l'authentification des clients passifs, effectuez la procédure suivante pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :
  • Site Web par défaut/adfs
  • Par défaut Site Web/adfs/ls
Pour ce faire, procédez comme suit :
  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d'informations sur l'ouverture du Gestionnaire des services IIS, reportez-vous à la section. Ouvrez le Gestionnaire des services IIS (IIS 7).
  2. Dans l'affichage des fonctionnalités, double-cliquez sur l'authentification.
  3. Sur la page d'authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s'affiche, sélectionnez désactiverà partir de lala Protection étendue menu déroulant.
Pour les clients actifs
Pour désactiver la Protection étendue pour l'authentification des clients actifs, effectuez la procédure suivante sur le serveur AD FS principal :
  1. Ouvrez Windows PowerShell.
  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Exécutez la commande suivante pour désactiver la Protection étendue pour l'authentification :
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Ré-activer la Protection étendue pour l'authentification

Pour les clients passifs
Pour réactiver la Protection étendue pour l'authentification des clients passifs, effectuez la procédure suivante pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :
  • Site Web par défaut/adfs
  • Par défaut Site Web/adfs/ls
Pour ce faire, procédez comme suit :
  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d'informations sur l'ouverture du Gestionnaire des services IIS, reportez-vous à la section. Ouvrez le Gestionnaire des services IIS (IIS 7).
  2. Dans l'affichage des fonctionnalités, double-cliquez sur l'authentification.
  3. Sur la page d'authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s'affiche, cliquez sur Accepterdans le menu déroulant de La Protection étendue .
Pour les clients actifs
Pour réactiver la Protection étendue pour l'authentification des clients actifs, effectuez la procédure suivante sur le serveur AD FS principal :
  1. Ouvrez Windows PowerShell.
  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Exécutez la commande suivante pour activer la Protection étendue pour l'authentification :
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Réduire cette imageAgrandir cette image
assets folding end collapsed

Résolution 4: Remplacer les enregistrements CNAME avec enregistrements A pour AD FS

Réduire cette imageAgrandir cette image
assets folding start collapsed
Utilisez les outils de gestion DNS pour remplacer chaque enregistrement DNS Alias (CNAME) qui est utilisé pour le service de fédération avec une adresse DNS (enregistrement A). Également, vérifiez ou bien les paramètres DNS d'entreprise lors de la configuration d'un DNS Déconnexion évitée est implémentée. Pour plus d'informations sur la façon de gérer les enregistrements DNS, accédez au site Web de Microsoft TechNet suivant :
Gestion des enregistrements DNS
Réduire cette imageAgrandir cette image
assets folding end collapsed

Résolution 5: Définir Internet Explorer comme client ADFS pour l'authentification unique (SSO)

Réduire cette imageAgrandir cette image
assets folding start collapsed
Pour plus d'informations sur la façon de configurer Internet Explorer pour l'accès AD FS, consultez l'article suivant de la Base de connaissances Microsoft :
2535227 Un utilisateur fédéré est invité de manière inattendue à entrer leurs informations d'identification lorsqu'ils accèdent à une ressource d'Office 365
Réduire cette imageAgrandir cette image
assets folding end collapsed

PLUS D'INFORMATIONS

Pour protéger un réseau, ADFS utilise la Protection étendue pour l'authentification. Protection étendue pour l'authentification permet d'éviter les attaques man-in-the-middle dans laquelle l'attaquant intercepte les informations d'identification d'un client et les transfère à un serveur. Protection contre de telles attaques est possible à l'aide de Works de liaison de canal (CBT). CBT peut être requises, autorisé ou non par le serveur lorsque les communications sont établies avec les clients.

Le paramètre ExtendedProtectionTokenCheck AD FS Spécifie le niveau de protection étendue pour l'authentification est pris en charge par le serveur de fédération. Ce sont les valeurs disponibles pour ce paramètre :
  • Demander: le serveur est totalement renforcé. La protection étendue est appliquée.
  • Autoriser: il s'agit du paramètre par défaut. Le serveur est en partie renforcé. La protection étendue est appliquée pour les systèmes concernés sont modifiés pour prendre en charge cette fonctionnalité.
  • Aucun: le serveur est vulnérable. Protection étendue n'est pas appliquée.
Les tableaux suivants décrivent le fonctionnement de l'authentification pour les trois systèmes d'exploitation et des navigateurs, selon les différentes options de Protection étendue disponibles sur AD FS avec IIS.

Remarque : Les systèmes d'exploitation clients Windows doit avoir des mises à jour spécifiques qui sont installés pour utiliser efficacement les fonctionnalités de la Protection étendue. Par défaut, les fonctionnalités sont activées dans AD FS. Ces mises à jour sont disponibles dans l'article suivant de la Base de connaissances Microsoft :
968389 Protection étendue pour l'authentification
Par défaut, Windows 7 inclut les fichiers binaires appropriés pour utiliser la Protection étendue.

Windows 7 (ou versions correctement mis à jour de Windows Vista ou de Windows XP)
Réduire ce tableauAgrandir ce tableau
ParamètreBesoinAutoriser (par défaut)Aucun
Communication de Windows
Client Foundation (WCF) (tous les points de terminaison)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6ÉchoueÉchoueWorks
Safari 4.0.4ÉchoueÉchoueWorks
Windows Vista sans mises à jour appropriées
Réduire ce tableauAgrandir ce tableau
ParamètreBesoinAutoriser (par défaut)Aucun
Client WCF (tous les points de terminaison)ÉchoueWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6ÉchoueWorks Works
Safari 4.0.4ÉchoueWorks Works
Windows XP sans les mises à jour appropriées
Réduire ce tableauAgrandir ce tableau
ParamètreBesoinAutoriser (par défaut)Aucun
Internet Explorer 8WorksWorksWorks
Firefox 3.6ÉchoueWorks Works
Safari 4.0.4ÉchoueWorks Works
Pour plus d'informations sur la Protection étendue pour l'authentification, consultez les ressources Microsoft suivantes :
968389 Protection étendue pour l'authentification
Configuration des Options avancées pour AD FS 2.0
Pour plus d'informations sur l'applet de commande Set-ADFSProperties , accédez au site Web de Microsoft suivant :
ADFSProperties de jeu

Vidéo : Lecture en boucle d'identification invite lors de l'ouverture de session Office 365 à l'aide d'une identité fédérée compte

Réduire cette imageAgrandir cette image
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.ms/wqsfve
Réduire cette imageAgrandir cette image
assets video2

Vidéo : Les utilisateurs fédérés sont demandées des informations d'identification ne peut pas vous connecter en Office 365

Réduire cette imageAgrandir cette image
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.ms/lifluf
Réduire cette imageAgrandir cette image
assets video2

Besoin d'aide ? Accédez à la Communauté Office 365 site Web ou le Forums Azure Active Directory (site Web).

Les produits tiers mentionnés dans cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits

Propriétés

Numéro d'article: 2461628 - Dernière mise à jour: samedi 21 juin 2014 - Version: 20.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Office 365 Identity Management
Mots-clés : 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 2461628
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com