Um utilizador federado é-lhe pedido repetidamente credenciais durante o início de sessão no Office 365, Azure ou do Windows Intune

Traduções de Artigos Traduções de Artigos
Artigo: 2461628 - Ver produtos para os quais este artigo se aplica.
Importante Este artigo contém informações que lhe mostra como ajudar a definições de segurança mais baixas ou como desactivar as funcionalidades de segurança num computador. Pode efectuar estas alterações para contornar um problema específico. Antes de efectuar estas alterações, recomendamos que avalie os riscos associados à implementação destas medidas no seu ambiente específico. Se implementar esta solução alternativa, tome medidas adicionais adequadas para ajudar a proteger o computador.
Expandir tudo | Reduzir tudo

Nesta página

PROBLEMA

Um utilizador federado é-lhe pedido repetidamente credenciais quando o utilizador tenta autenticar para o ponto final de serviço de serviços de Federação do Active Directory (AD FS) durante o início de sessão na um serviço de nuvem de Microsoft como Office 365, Microsoft Azure ou do Windows Intune. Quando o utilizador cancela, o utilizador recebe a seguinte mensagem de erro:
Acesso negado

CAUSA

O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Este problema poderá ocorrer se uma ou mais das seguintes condições forem verdadeiras:
  • Foi utilizado um nome de utilizador incorrecto ou a palavra-passe.
  • Definições de autenticação da Internet Information Services (IIS) são configuradas incorrectamente no AD FS.
  • O nome de principal de serviço (SPN) que está associada a conta de serviço que é utilizada para executar o farm de servidores de Federação de AD FS é perdido ou danificado.

    Nota Isto ocorre apenas quando o AD FS é implementado como um farm de servidores de Federação e não implementado numa configuração autónoma.
  • Um ou mais dos seguintes procedimentos são identificados pela protecção expandido para autenticação, como uma origem de um ataque de man-in-the-middle:
    • Alguns browsers da Internet de outros fabricantes
    • O firewall de rede da empresa, Balanceador de carga de rede ou outro dispositivo de rede é publicar o serviço de Federação do AD FS para a Internet de tal forma que potencialmente possam ser reescritos dados de payload IP. Possivelmente, isto inclui os seguintes tipos de dados:
      • Secure Sockets Layer (SSL) de bridge
      • Offload da SSL
      • A filtragem de pacotes

        Para mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
        2510193Cenários suportados para utilizar o AD FS para configurar serviço single sign-on no Office 365, Azure ou do Windows Intune
    • Uma aplicação de desencriptação SSL ou de monitorização está instalada ou está activa no computador cliente
  • Resolução de nome DNS (sistema) do domínio de ponto final do serviço de AD FS foi efectuada através de uma procura de registo CNAME em vez de através de uma pesquisa de registo A.
  • Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor de AD FS.

Antes de começar a resolução de problemas

Verifique se o nome de utilizador e palavra-passe não estão a causar o problema.
  • Certifique-se de que o nome de utilizador correcto é utilizado e está no formato de (UPN) de nome principal de utilizador. Por exemplo, johnsmith@contoso.com.
  • Certifique-se de que a palavra-passe é utilizada. Para verificar que a palavra-passe é utilizada, poderá ter de repor a palavra-passe do utilizador. Para mais informações, consulte o seguinte artigo da Microsoft TechNet:
    Repor uma palavra-passe de utilizador
  • Certifique-se de que a conta não está bloqueada, expirada ou utilizada fora das horas de início de sessão designado. Para mais informações, consulte o seguinte artigo da Microsoft TechNet:
    Gerir utilizadores

Verificar a causa

Para verificar que os problemas de Kerberos estão a causar o problema, ignorar temporariamente a autenticação Kerberos, activando a autenticação baseada em formulários no farm de servidores de Federação de AD FS. Para tal, siga estes passos:

Passo 1: Editar o ficheiro Web. config em cada servidor no farm de servidores de Federação de AD FS
  1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, efectue uma cópia de segurança do ficheiro Web. config.
  2. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, com o botão direito Bloco de notase, em seguida, clique em Executar como administrador.
  3. Sobre o ficheiro menu, clique em Abrir. No nome do ficheiro , escrevaC:\inetpub\adfs\ls\web.confige, em seguida, clique em Abrir.
  4. No ficheiro Web. config, siga estes passos:
    1. Localize a linha que contém <authentication mode=""> </authentication>e, em seguida, alterá-la para <authentication mode="Forms"> </authentication>.
    2. Localize a secção que começa com <localAuthenticationTypes> </localAuthenticationTypes>e, em seguida, altere a secção para que o <add name="Forms"></add> entrada está listada em primeiro lugar, da seguinte forma:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sobre o ficheiro menu, clique em Guardar.
  6. Numa linha de comandos elevada, reinicie o IIS utilizando o comando iisreset .
Passo 2: Funcionalidade ensaio de AD FS
  1. Num computador cliente que estabeleceu ligação e autenticado para as instalações no ambiente de AD DS, de início de sessão no portal do serviço de nuvem.

    Em vez de uma experiência de autenticação transparente, um início de sessão-in baseada em formulários deverá ser detectado. Se o início de sessão for bem sucedido através da autenticação baseada em formulários, isto confirma que existe um problema com Kerberos no serviço de Federação AD FS.
  2. Reverta a configuração de cada servidor no farm de servidores de Federação de AD FS as definições de autenticação anteriores antes de seguir os passos na secção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de Federação de AD FS, siga estes passos:
    1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, elimine o ficheiro Web. config.
    2. Mover a cópia de segurança do ficheiro Web. config que criou no "passo 1: editar o ficheiro Web. config em cada servidor no farm de servidores de Federação de AD FS" secção para a pasta C:\inetpub\adfs\ls\.
  3. Numa linha de comandos elevada, reinicie o IIS utilizando o comando iisreset .
  4. Verifique que o comportamento de autenticação de AD FS reverte para o problema original.

SOLUÇÃO

Para resolver o problema de Kerberos que limita a autenticação de AD FS, utilize um ou mais dos seguintes métodos, conforme adequado à situação.

Resolução 1: Definições de autenticação repor o AD FS para os valores predefinidos

Reduzir esta imagemExpandir esta imagem
assets folding start collapsed
Se as definições de autenticação de AD FS IIS estão incorrectas ou definições de autenticação do IIS para serviços de Federação do AD FS e serviços de Proxy não corresponderem, é uma solução para repor todas as definições de autenticação do IIS para as predefinições de AD FS.

As definições de autenticação predefinida estão listadas na seguinte tabela.
Reduzir esta tabelaExpandir esta tabela
Aplicação virtualNível (eis) de autenticação
Web Site/adfs de predefiniçãoAutenticação anónima
Web Site/adfs/ls da predefiniçãoAutenticação anónima
Autenticação do Windows
Em cada servidor de Federação de AD FS e cada proxy de servidor de Federação de AD FS, utilize as informações no seguinte artigo da Microsoft TechNet para repor as aplicações virtuais do IIS do AD FS para as definições de autenticação predefinido:
Configurar a autenticação no IIS 7
Para mais informações sobre como resolver este erro, consulte os seguintes artigos na Microsoft Knowledge Base:
907273 Resolução de erros de HTTP 401 no IIS

871179 Recebe um "erro 401.1 de HTTP - não autorizado: acesso negado devido a credenciais inválidas" mensagem de erro quando tenta aceder um Web site que faz parte de um agrupamento de aplicações do IIS 6.0

Reduzir esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 2: Corrigir o farm de servidores de Federação de AD FS SPN

Reduzir esta imagemExpandir esta imagem
assets folding start collapsed
NotaTente esta resolução apenas quando o AD FS é implementado como um farm de servidores de Federação. Não tente esta resolução numa configuração autónoma de AD FS.

Para resolver o problema se o SPN do serviço do AD FS for perdido ou danificado na conta de serviço do AD FS, siga estes passos num servidor no farm de servidores de Federação de AD FS:
  1. Abra o snap-in de gestão de serviços. Para tal, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
  2. Faça duplo clique sobre o serviço do AD FS (2.0) do Windows.
  3. Sobre o sessão de tabulação, tenha em atenção a conta de serviço que é apresentada em Esta conta.
  4. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, linha de comandosde contexto e, em seguida, clique em Executar como administrador.
  5. Tipo Anfitrião do SetSPN ? f ? q /<AD fs="" service="" name=""></AD>, e, em seguida, prima Enter.

    NotaNeste comando, <AD fs="" service="" name=""></AD> representa o nome de serviço do domínio totalmente qualificado (FQDN) do nome do ponto final do serviço de AD FS. Não representa o nome de anfitrião do Windows do servidor de AD FS.
    • Se for devolvida mais de uma entrada para o comando e o resultado está associado a uma conta de utilizador diferente do que foi anotado no passo 3, remova essa associação. Para tal, execute o seguinte comando:
      SetSPN ? d anfitrião /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se for devolvida mais de uma entrada para o comando e o SPN utiliza o mesmo nome, como o nome de computador do servidor AD FS no Windows, o nome de ponto final de Federação para o AD FS está incorrecto. O AD FS tem de ser implementado novamente. O FQDN do farm de servidores de Federação de AD FS não deve ser idêntico ao nome de anfitrião do Windows de um servidor existente.
    • Se o SPN já não existir, execute o seguinte comando:
      SetSPN ? um anfitrião /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      NotaNeste comando, <username of="" service="" account=""></username> representa o nome de utilizador que foi anotado no passo 3.
  6. Depois destes passos são efectuados em todos os servidores do farm de servidores de Federação de AD FS, O serviço Windows do AD FS (2.0) de contexto no snap-in de gestão de serviços e, em seguida, clique em reiniciar.
Reduzir esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 3: Resolver protecção expandido para problemas de autenticação

Reduzir esta imagemExpandir esta imagem
assets folding start collapsed
Para resolver o problema se expandido a protecção para autenticação impede que a autenticação com êxito, utilize um dos seguintes métodos recomendados:
  • Método 1: utilizar o Internet Explorer 8 (ou uma versão posterior do programa) para iniciar sessão.
  • Método 2: publicar serviços de AD FS na Internet de modo a que protocolo de bridge SSL, SSL descarregar ou a filtragem de pacotes não reescreve dados de payload IP. A recomendação de melhores práticas para o efeito, deve utilizar um servidor de Proxy do AD FS.
  • Método 3: fechar ou desactivar a monitorização ou aplicações de desencriptação de SSL.
Se não é possível utilizar qualquer destes métodos, para contornar este problema, pode ser desactivada protecção expandido para a autenticação para clientes de activos e passivos.

Solução alternativa: Desactivar a protecção adicional para autenticação

AvisoNão recomendamos que utilize este procedimento como uma solução a longo prazo. Desactivação da protecção alargada para autenticação enfraquece o perfil de segurança do serviço de AD FS através da detecção não certos ataques man-in-the-middle em pontos finais de autenticação integrada do Windows.

Nota Quando esta solução alternativa for aplicada para a funcionalidade de aplicação de terceiros, deve também desinstalar correcções no sistema operativo cliente para protecção expandido para autenticação. Para mais informações sobre as correcções, consulte o seguinte artigo na Microsoft Knowledge Base:
968389 Protecção adicional para autenticação
Para clientes passivos
Para desactivar a protecção expandido para a autenticação para clientes passivos, efectue o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores do farm de servidores de Federação de AD FS:
  • Web Site/adfs de predefinição
  • Web Site/adfs/ls da predefinição
Para tal, siga estes passos:
  1. Abra o Gestor de IIS e navegar para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor de IIS, consulte Abra o Gestor de IIS (IIS 7).
  2. Na vista de funcionalidades, faça duplo clique em autenticação.
  3. Na página autenticação, seleccione A autenticação do Windows.
  4. No painel de Acções , clique em Definições avançadas.
  5. Quando for apresentada a caixa de diálogo Definições avançadas , seleccione Terminardoprotecção expandido menu pendente.
Para clientes activos
Para desactivar a protecção expandido para a autenticação de clientes activos, efectue o seguinte procedimento no servidor de AD FS principal:
  1. Abra o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para snap-in AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para desactivar a protecção expandido para autenticação:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Reactivar a protecção adicional para autenticação

Para clientes passivos
Para reactivar a protecção expandido para a autenticação para clientes passivos, efectue o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores do farm de servidores de Federação de AD FS:
  • Web Site/adfs de predefinição
  • Web Site/adfs/ls da predefinição
Para tal, siga estes passos:
  1. Abra o Gestor de IIS e navegar para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor de IIS, consulte Abra o Gestor de IIS (IIS 7).
  2. Na vista de funcionalidades, faça duplo clique em autenticação.
  3. Na página autenticação, seleccione A autenticação do Windows.
  4. No painel de Acções , clique em Definições avançadas.
  5. Quando for apresentada a caixa de diálogo Definições avançadas , seleccione Aceitarno menu pendente Protecção expandido .
Para clientes activos
Para reactivar a protecção expandido para a autenticação de clientes activos, efectue o seguinte procedimento no servidor de AD FS principal:
  1. Abra o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para snap-in AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para activar a protecção expandido para autenticação:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Reduzir esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 4: Substituir registos CNAME com registos de para o AD FS

Reduzir esta imagemExpandir esta imagem
assets folding start collapsed
Utilize ferramentas de gestão de DNS para substituir cada registo de DNS Alias (CNAME) que utilizou para o serviço de federação com um endereço DNS registo (A). Além disso, verifique ou considere as definições de DNS da empresa quando uma split-brain configuração de DNS é implementada. Para mais informações sobre como gerir registos DNS, consulte o seguinte Web site da Microsoft TechNet:
Gerir registos de DNS
Reduzir esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 5: Configurar o Internet Explorer como um cliente de AD FS para o início de sessão único (SSO)

Reduzir esta imagemExpandir esta imagem
assets folding start collapsed
Para mais informações sobre como configurar o Internet Explorer para o acesso de AD FS, consulte o seguinte artigo na Microsoft Knowledge Base:
2535227 Um utilizador federado é-lhe pedido inesperadamente para introduzir as credenciais quando acedem a um recurso do Office 365
Reduzir esta imagemExpandir esta imagem
assets folding end collapsed

MAIS INFORMAÇÕES

Para ajudar a proteger uma rede, o AD FS utiliza protecção expandido para autenticação. Protecção adicional para a autenticação pode ajudar a impedir ataques man-in-the-middle em que um intruso intercepta as credenciais de um cliente e encaminha-as para um servidor. Protecção contra ataques desses tipo torna-se possível através da utilização de obras de enlace de canal (CBT). CBT pode ser necessário, permitido ou não requerido pelo servidor quando são estabelecidas comunicações com clientes.

A definição de ExtendedProtectionTokenCheck AD FS Especifica o nível de protecção adicional para a autenticação que é suportada pelo servidor de Federação. Estes são os valores disponíveis para esta definição:
  • Exigir: O servidor está totalmente puro. Protecção adicional é imposta.
  • Permitir: Esta é a predefinição. O servidor está parcialmente puro. Protecção adicional é imposta envolvidos em sistemas que são alteradas para suportar esta funcionalidade.
  • Nenhum: O servidor está vulnerável. Protecção adicional não é imposta.
As tabelas seguintes descrevem o funcionamento da autenticação para três sistemas operativos e browsers, dependendo das opções de protecção expandido diferentes que estão disponíveis no AD FS com o IIS.

Nota Sistemas operativos Windows cliente tem de ter actualizações específicas que são instaladas para utilizar eficazmente as funcionalidades de protecção expandido. Por predefinição, as funcionalidades estão activadas no AD FS. Estas actualizações estão disponíveis a partir do seguinte artigo na Microsoft Knowledge Base:
968389 Protecção adicional para autenticação
Por predefinição, o Windows 7 inclui os binários adequados para utilizar a protecção expandido.

Windows 7 (ou versões devidamente actualizadas do Windows Vista ou do Windows XP)
Reduzir esta tabelaExpandir esta tabela
DefiniçãoExigirPermitir (predefinição)Nenhum
Comunicação do Windows
Foundation (WCF) cliente (todos os pontos finais)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaFalhaWorks
Safari 4.0.4FalhaFalhaWorks
Windows Vista sem as actualizações apropriadas
Reduzir esta tabelaExpandir esta tabela
DefiniçãoExigirPermitir (predefinição)Nenhum
Cliente de WCF (todos os pontos finais)FalhaWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Windows XP sem as actualizações apropriadas
Reduzir esta tabelaExpandir esta tabela
DefiniçãoExigirPermitir (predefinição)Nenhum
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Para mais informações sobre a protecção expandido para autenticação, consulte os seguintes recursos da Microsoft:
968389 Protecção adicional para autenticação
Configurar opções avançadas para o AD FS 2.0
Para mais informações sobre o cmdlet do Conjunto-ADFSProperties , vá para o seguinte Web site da Microsoft:
Conjunto-ADFSProperties

Vídeo: Ciclo credencial pede quando iniciar sessão no Office 365 a utilizar uma identidade federada conta

Reduzir esta imagemExpandir esta imagem
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Reduzir esta imagemExpandir esta imagem
assets video2

Vídeo: Os utilizadores federados são-lhe pedidas repetidamente credenciais e não é possível iniciar sessão no Office 365

Reduzir esta imagemExpandir esta imagem
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Reduzir esta imagemExpandir esta imagem
assets video2

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Os produtos de outros fabricantes que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos

Propriedades

Artigo: 2461628 - Última revisão: 21 de junho de 2014 - Revisão: 22.0
A informação contida neste artigo aplica-se a:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Palavras-chave: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2461628

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com