Un utente federato viene ripetutamente richieste le credenziali durante l'accesso a Office 365, Windows Azure o Windows Intune

Traduzione articoli Traduzione articoli
Identificativo articolo: 2461628 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni che mostrano come supportare le impostazioni di protezione inferiore o su come disattivare le funzionalitÓ di protezione in un computer. ╚ possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, si consiglia di valutare i rischi associati all'implementazione di questa soluzione alternativa in un ambiente particolare. Se si implementa questa soluzione, adottare ogni ulteriore procedura per proteggere il computer.
Espandi tutto | Chiudi tutto

In questa pagina

PROBLEMA

Un utente federato Ŕ ripetutamente richieste le credenziali quando si tenta di eseguire l'autenticazione per l'endpoint del servizio Active Directory Federation Services (ADFS) durante l'accesso a un servizio cloud di Microsoft Office 365, Windows Azure o Windows Intune. Quando l'utente Annulla, l'utente riceve il messaggio di errore riportato di seguito:
Accesso negato

CAUSA

Il sintomo indica un problema con l'autenticazione integrata di Windows con AD FS. Questo problema pu˛ verificarsi se uno o pi¨ delle seguenti condizioni sono vere:
  • ╚ stato utilizzato un nome utente non corretto o una password.
  • Le impostazioni di autenticazione Internet Information Services (IIS) vengono impostate in modo non corretto in ADFS.
  • Il nome principale servizio (SPN) che ha associato con l'account di servizio utilizzato per l'esecuzione della server farm federativa di ADFS viene perso o danneggiato.

    Nota. Questo si verifica solo quando viene implementato come una farm di server federativo ADFS e non Ŕ implementato in una configurazione autonoma.
  • Uno o pi¨ delle seguenti operazioni sono identificati di protezione estesa per l'autenticazione come origine di un attacco man-in-the-middle:
    • Alcuni browser Internet di terze parti
    • Il firewall della rete aziendale, bilanciamento del carico di rete o altro dispositivo di rete pubblica a Internet in modo che i dati del payload IP potenzialmente possono essere riscritto il servizio federativo ADFS. Probabilmente sono inclusi i seguenti tipi di dati:
      • Secure Sockets Layer (SSL) bridging
      • Offload SSL
      • Filtraggio dei pacchetti basato sullo stato

        Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
        2510193Scenari supportati per l'utilizzo di ADFS per impostare servizio single sign-on in Office 365, Windows Azure o Windows Intune
    • Un'applicazione di decrittografia SSL o di monitoraggio Ŕ installato o Ŕ attivo sul computer client
  • Risoluzione di Domain Name System (DNS) dell'endpoint del servizio ADFS Ŕ stata eseguita attraverso la ricerca di record CNAME anzichÚ tramite una ricerca di record A.
  • Windows Internet Explorer non Ŕ configurato per passare l'autenticazione integrata di Windows server ADFS.

Prima di avviare la risoluzione dei problemi

Verificare che il nome utente e la password non siano la causa del problema.
  • Assicurarsi che il nome utente corretto viene utilizzato ed Ŕ nel formato user principal name (UPN). Ad esempio, johnsmith@contoso.com.
  • Assicurarsi di utilizzare la password corretta. Per verificare che la password corretta viene utilizzata, potrebbe essere necessario reimpostare la password dell'utente. Per ulteriori informazioni, vedere il seguente articolo Microsoft TechNet:
    Reimpostare una Password utente
  • Assicurarsi che l'account non Ŕ bloccato, scaduta o utilizzato di fuori dell'orario di accesso designato. Per ulteriori informazioni, vedere il seguente articolo Microsoft TechNet:
    Gestione degli utenti

Verificare la causa

Per verificare che il problema sono causato da problemi relativi a Kerberos, attivando l'autenticazione basata su form nella server farm federazione ADFS ignorare temporaneamente l'autenticazione Kerberos. A tale scopo, attenersi alla seguente procedura:

Passaggio 1: Modificare il file Web. config in ogni server della server farm federativa di ADFS
  1. In Esplora risorse, individuare la cartella C:\inetpub\adfs\ls\ e quindi eseguire una copia di backup del file Web. config.
  2. Fare clic su Start, scegliere Tutti i programmi, Accessori, destro del mouse su blocco notee quindi fare clic su Esegui come amministratore.
  3. Nella File menu, fare clic su Apri. Nella nome del File , digitareC:\inetpub\adfs\ls\web.config, quindi scegliere Apri.
  4. Nel file Web. config, attenersi alla seguente procedura:
    1. Individuare la riga che contiene <authentication mode=""> </authentication>e modificarla in <authentication mode="Forms"> </authentication>.
    2. Individuare la sezione che inizia con <localAuthenticationTypes> </localAuthenticationTypes>e quindi modificare la sezione in modo che il <add name="Forms"></add> voce Ŕ elencato prima, come segue:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Nella File menu, fare clic su Salva.
  6. Al prompt dei comandi con privilegi elevati tramite il comando iisreset per riavviare IIS.
Passaggio 2: FunzionalitÓ di Test AD FS
  1. In un computer client Ŕ connesso e autenticato presso gli impianti ambiente Active Directory, accedi al portale di servizi cloud.

    Invece di un'esperienza di un'autenticazione sicura, un accesso a basata su form deve essere verificato. Se l'accesso ha esito positivo mediante l'autenticazione basata su form, questo conferma che esiste un problema con Kerberos nel servizio federativo ADFS.
  2. Ripristinare la configurazione di ogni server della server farm di federazione ADFS per le precedenti impostazioni di autenticazione prima di seguire la procedura nella sezione "Risoluzione". Per ripristinare la configurazione di ogni server della server farm federazione ADFS, attenersi alla seguente procedura:
    1. In Esplora risorse, individuare la cartella C:\inetpub\adfs\ls\ e quindi eliminare il file Web. config.
    2. Spostare il backup del file Web. config creato durante il "passaggio 1: modificare il file Web. config in ogni server della server farm federativa di ADFS" sezione nella cartella C:\inetpub\adfs\ls\.
  3. Al prompt dei comandi con privilegi elevati tramite il comando iisreset per riavviare IIS.
  4. Verificare che il problema originale viene ripristinato il comportamento di autenticazione ADFS.

SOLUZIONE

Per risolvere il problema di Kerberos che limita l'autenticazione ADFS, utilizzare uno o pi¨ dei seguenti metodi, a seconda della situazione.

Risoluzione 1: Le impostazioni di autenticazione ADFS Reset i valori predefiniti

Riduci l'immagineEspandi l'immagine
assets folding start collapsed
Se le impostazioni di autenticazione AD FS IIS sono corrette o non corrispondono a impostazioni di autenticazione IIS per servizi di federazione ADFS e i servizi Proxy, Ŕ una soluzione per reimpostare tutte le impostazioni di autenticazione IIS per le impostazioni predefinite di ADFS.

Nella tabella seguente sono elencate le impostazioni di autenticazione predefinito.
Riduci questa tabellaEspandi questa tabella
Applicazione virtualeLivelli di autenticazione
Sito Web predefinito/adfsAutenticazione anonima
Predefinito sito Web/adfs/lsAutenticazione anonima
Autenticazione di Windows
In ogni server federativo di ADFS e ogni proxy server federativo di ADFS, utilizzare le informazioni nel seguente articolo Microsoft TechNet per ripristinare le applicazioni virtuali AD FS IIS per le impostazioni di autenticazione predefinite:
Configurazione dell'autenticazione in IIS 7
Per ulteriori informazioni su come risolvere questo errore, vedere i seguenti articoli della Microsoft Knowledge Base:
907273 Risoluzione degli errori HTTP 401 in IIS

871179 Viene visualizzato un "errore HTTP 401.1 - operazione non autorizzata: accesso negato a causa di credenziali non valide" messaggio di errore quando si tenta di accedere a un sito Web che fa parte di un pool di applicazioni IIS 6.0

Riduci l'immagineEspandi l'immagine
assets folding end collapsed

Soluzione 2: Correggere la farm di server federativo ADFS SPN

Riduci l'immagineEspandi l'immagine
assets folding start collapsed
Nota. Provare a utilizzare questa soluzione solo quando ADFS viene implementato come una server farm federativa. Non eseguire questa risoluzione in una configurazione autonoma di ADFS.

Per risolvere il problema se il SPN per il servizio ADFS viene perso o danneggiato sull'account di servizio ADFS, attenersi alla seguente procedura su un server della server farm federazione ADFS:
  1. Aprire lo snap-in Gestione servizi. A tale scopo, fare clic su Start, scegliere Tutti i programmi, fare clic su Strumenti di amministrazionee quindi fare clic su servizi.
  2. Fare doppio clic sul servizio ADFS (2.0) di Windows.
  3. Nella nel registro , prendere nota l'account del servizio che viene visualizzato in Questo Account.
  4. Fare clic su Start, scegliere Tutti i programmi, Accessori, destro del mouse su prompt dei comandie quindi fare clic su Esegui come amministratore.
  5. Tipo SetSPN ? f ? q host /<AD fs="" service="" name=""></AD>, quindi premere INVIO.

    Nota. In questo comando, <AD fs="" service="" name=""></AD> rappresenta il nome del servizio completo di dominio (FQDN) del nome dell'endpoint del servizio ADFS. Non rappresenta il nome host di Windows del server ADFS.
    • Se viene restituita pi¨ di una voce per il comando e il risultato Ŕ associato a un account utente diverso da quello indicato nel passaggio 3, Ŕ necessario rimuovere tale associazione. A tale scopo, eseguire il comando riportato di seguito:
      SetSPN ? d ? host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se viene restituita pi¨ di una voce per il comando e il SPN viene utilizzato lo stesso nome come nome del computer del server ADFS in Windows, il nome dell'endpoint di federazione per ADFS non Ŕ corretto. AD FS deve essere implementata di nuovo. Il nome FQDN del server farm federativa ADFS non devono essere identici al nome host Windows di un server esistente.
    • Se il SPN non esiste giÓ, eseguire il comando riportato di seguito:
      SetSPN ?a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Nota. In questo comando, <username of="" service="" account=""></username> rappresenta il nome utente che Ŕ stato annotato nel passaggio 3.
  6. Dopo questi passaggi vengono eseguiti in tutti i server della server farm federativa di ADFS, destro del mouse sul Servizio Windows ADFS (2.0) nello snap-in Gestione servizi e quindi scegliere Riavvia.
Riduci l'immagineEspandi l'immagine
assets folding end collapsed

Risoluzione 3: Risoluzione di protezione estesa per l'autenticazione riguarda

Riduci l'immagineEspandi l'immagine
assets folding start collapsed
Per risolvere il problema se protezione estesa per l'autenticazione non riuscita dell'autenticazione, utilizzare uno dei seguenti metodi consigliati:
  • Metodo 1: utilizzare Windows Internet Explorer 8 (o versione successiva del programma) per l'accesso.
  • Metodo 2: pubblicare servizi ADFS a Internet in modo che il bridging SSL, offload SSL o filtraggio di pacchetti stateful non riscrittura i dati del payload IP. Procedure consigliate per questo scopo Ŕ consigliabile utilizzare un Server Proxy di AD FS.
  • Metodo 3: Chiudi o disabilitare il monitoraggio o applicazioni di decrittografia SSL.
Se Ŕ possibile utilizzare uno dei seguenti metodi per aggirare il problema, Ŕ possibile disattivare protezione estesa per l'autenticazione per i client attivi e passivi.

Soluzione: Disabilitare la protezione estesa per l'autenticazione

AvvisoNon Ŕ consigliabile utilizzare questa procedura come soluzione a lungo termine. Disattivazione di protezione estesa per l'autenticazione indebolisce il profilo di protezione del servizio ADFS non rilevare determinati attacchi man-in-the-middle sugli endpoint di tipo di autenticazione integrata di Windows.

Nota. Quando viene applicata questa soluzione alternativa per la funzionalitÓ dell'applicazione di terze parti, Ŕ inoltre necessario disinstallare gli aggiornamenti rapidi nel sistema operativo client per la protezione estesa per l'autenticazione. Per ulteriori informazioni sugli aggiornamenti rapidi, vedere il seguente articolo della Microsoft Knowledge Base:
968389 Protezione estesa per l'autenticazione
Per i client passivi
Per disattivare la protezione estesa per l'autenticazione per client passivi, eseguire la procedura seguente per le seguenti applicazioni virtuali di IIS in tutti i server della server farm federativa di ADFS:
  • Sito Web predefinito/adfs
  • Predefinito sito Web/adfs/ls
A tale scopo, attenersi alla seguente procedura:
  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Aprire Gestione IIS (IIS 7).
  2. In visualizzazione funzionalitÓ, fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare Autenticazione di Windows.
  4. Nel riquadro Azioni fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare Offildi protezione estesa dal menu a discesa.
Per i client active
Per disattivare la protezione estesa per l'autenticazione per i client active, eseguire la procedura seguente sul server ADFS primario:
  1. Aprire Windows PowerShell.
  2. Eseguire il comando riportato di seguito per caricare il Windows PowerShell per lo snap-in ADFS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Eseguire il comando seguente per disattivare la protezione estesa per l'autenticazione:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Riattivare la protezione estesa per l'autenticazione

Per i client passivi
Per riattivare la protezione estesa per l'autenticazione per client passivi, attenersi alla seguente procedura per le seguenti applicazioni virtuali di IIS in tutti i server della server farm federativa di ADFS:
  • Sito Web predefinito/adfs
  • Predefinito sito Web/adfs/ls
A tale scopo, attenersi alla seguente procedura:
  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Aprire Gestione IIS (IIS 7).
  2. In visualizzazione funzionalitÓ, fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare Autenticazione di Windows.
  4. Nel riquadro Azioni fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare accettadal menu a discesa Di protezione estesa .
Per i client active
Per riattivare la protezione estesa per l'autenticazione per i client active, eseguire la procedura seguente sul server ADFS primario:
  1. Aprire Windows PowerShell.
  2. Eseguire il comando riportato di seguito per caricare il Windows PowerShell per lo snap-in ADFS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Eseguire il comando seguente per attivare la protezione estesa per l'autenticazione:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Riduci l'immagineEspandi l'immagine
assets folding end collapsed

Risoluzione 4: Sostituire i record CNAME con un record per ADFS

Riduci l'immagineEspandi l'immagine
assets folding start collapsed
Utilizzare gli strumenti di gestione DNS per sostituire ogni record DNS Alias (CNAME) che Ŕ utilizzato per il servizio federativo con un indirizzo DNS record (A). Inoltre, controllare o prendere in considerazione le impostazioni DNS aziendale quando viene implementata una split-brain configurazione di DNS. Per ulteriori informazioni sulla gestione dei record DNS, visitare il seguente sito Web Microsoft TechNet:
Gestione dei record DNS
Riduci l'immagineEspandi l'immagine
assets folding end collapsed

Soluzione 5: Impostare Internet Explorer come client ADFS single sign-on (SSO)

Riduci l'immagineEspandi l'immagine
assets folding start collapsed
Per ulteriori informazioni su come configurare Internet Explorer per l'accesso di ADFS, vedere il seguente articolo della Microsoft Knowledge Base:
2535227 Un utente federato Ŕ richiesta imprevista di immettere le credenziali durante l'accesso a una risorsa di Office 365
Riduci l'immagineEspandi l'immagine
assets folding end collapsed

ULTERIORI INFORMAZIONI

Per proteggere una rete, ADFS utilizza la protezione estesa per l'autenticazione. La protezione estesa per l'autenticazione consente di impedire gli attacchi man-in-the-middle in cui un utente malintenzionato intercetta le credenziali del client e li inoltra a un server. Protezione contro tali attacchi Ŕ resa possibile mediante l'utilizzo di Works del Binding di canale (CBT). CBT possono essere necessari, consentito o non richiesto dal server quando vengono stabilite comunicazioni con i client.

L'impostazione di ExtendedProtectionTokenCheck AD FS specifica il livello di protezione estesa per l'autenticazione Ŕ supportato dal server federativo. Questi sono i valori disponibili per questa impostazione:
  • ╚ necessario: il server Ŕ con protezione avanzato completa. Viene applicata la protezione estesa.
  • Consenti: questa Ŕ l'impostazione predefinita. Il server Ŕ in parte con protezione avanzato. Per i sistemi interessati che sono stati modificati per supportare questa funzionalitÓ viene applicata la protezione estesa.
  • Nessuno: il server Ŕ vulnerabile. Non viene applicata la protezione estesa.
Le tabelle seguenti descrivono il funzionamento dell'autenticazione per i tre sistemi operativi e browser, a seconda delle diverse opzioni di protezione estesa disponibili in ADFS con IIS.

Nota. Sistemi operativi client Windows deve disporre di aggiornamenti specifici che vengono installati per utilizzare efficacemente le funzionalitÓ di protezione estesa. Per impostazione predefinita, le funzionalitÓ sono abilitate in ADFS. Questi aggiornamenti sono disponibili tramite il seguente articolo della Microsoft Knowledge Base:
968389 Protezione estesa per l'autenticazione
Per impostazione predefinita, Windows 7 include i file binari appropriati per l'utilizzo di protezione estesa.

Windows 7 (o aggiornato in modo appropriato le versioni di Windows Vista o Windows XP)
Riduci questa tabellaEspandi questa tabella
ImpostazioneRichiedonoConsenti (impostazione predefinita)Nessuno
Comunicazione di Windows
Client Foundation (WCF) (tutti gli endpoint)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6Si verifica un erroreSi verifica un erroreWorks
Safari 4.0.4Si verifica un erroreSi verifica un erroreWorks
Windows Vista senza gli aggiornamenti appropriati
Riduci questa tabellaEspandi questa tabella
ImpostazioneRichiedonoConsenti (impostazione predefinita)Nessuno
Client WCF (tutti gli endpoint)Si verifica un erroreWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6Si verifica un erroreWorks Works
Safari 4.0.4Si verifica un erroreWorks Works
Windows XP senza gli aggiornamenti appropriati
Riduci questa tabellaEspandi questa tabella
ImpostazioneRichiedonoConsenti (impostazione predefinita)Nessuno
Internet Explorer 8WorksWorksWorks
Firefox 3.6Si verifica un erroreWorks Works
Safari 4.0.4Si verifica un erroreWorks Works
Per ulteriori informazioni sulla protezione estesa per l'autenticazione, vedere le risorse di Microsoft riportato di seguito:
968389 Protezione estesa per l'autenticazione
Configurazione delle opzioni avanzate per AD FS 2.0
Per ulteriori informazioni sul cmdlet Set-ADFSProperties , visitare il seguente sito Web Microsoft:
Set-ADFSProperties

Video: Ciclo delle credenziali richieste quando l'accesso a Office 365 utilizzando un'identitÓ federativa Account

Riduci l'immagineEspandi l'immagine
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.ms/wqsfve
Riduci l'immagineEspandi l'immagine
assets video2

Video: Gli utenti federati vengono ripetutamente richiesto di immettere le credenziali e Impossibile Sign In Office 365

Riduci l'immagineEspandi l'immagine
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.ms/lifluf
Riduci l'immagineEspandi l'immagine
assets video2

Ulteriore assistenza? Vai al Community di Office 365 sito Web o il Forum di Active Directory di Windows Azure .

I prodotti di terze parti descritti in questo articolo sono forniti da societÓ indipendenti da Microsoft. Microsoft esclude ogni garanzia, implicita o esplicita relativa alle prestazioni o all'affidabilitÓ di tali prodotti

ProprietÓ

Identificativo articolo: 2461628 - Ultima modifica: domenica 9 marzo 2014 - Revisione: 21.0
Le informazioni in questo articolo si applicano a:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for educationá (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Chiavi:á
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2461628
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com