Um usuário federado é repetidas solicitações de credenciais durante a entrada para o Office 365, o Windows Azure ou o Windows Intune

Traduções deste artigo Traduções deste artigo
ID do artigo: 2461628 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações que mostram como ajudar a diminuir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para solucionar um problema específico. Antes de fazer essas alterações, recomendamos que avalie os riscos associados à implementação dessa solução alternativa no ambiente específico. Se você implementar essa solução alternativa, execute quaisquer etapas adicionais apropriadas para ajudar a proteger o computador.
Expandir tudo | Recolher tudo

Neste artigo

PROBLEMA

Um usuário federado é repetidas solicitações de credenciais quando o usuário tenta autenticar o ponto de extremidade de serviço serviços de Federação do Active Directory (AD FS) durante a entrada em um serviço de nuvem da Microsoft, como o Office 365, o Windows Azure ou o Windows Intune. Quando o usuário cancela, o usuário recebe a seguinte mensagem de erro:
Acesso negado

CAUSA

O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Esse problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:
  • Foi usada um nome de usuário incorreto ou senha.
  • Configurações de autenticação de Internet Information Services (IIS) estiver configuradas incorretamente no AD FS.
  • O nome principal de serviço (SPN) associada a conta de serviço é usada para executar o farm do servidor de Federação do AD FS é perdido ou corrompido.

    Observação Isso ocorre somente quando o AD FS é implementado como um farm de servidores de Federação e não implementado em uma configuração autônoma.
  • Um ou mais dos procedimentos a seguir são identificados pela proteção estendida para autenticação como uma origem de um ataque no meio:
    • Alguns navegadores de Internet de terceiros
    • O firewall de rede corporativa, balanceador de carga de rede ou outro dispositivo de rede está publicando o serviço de Federação do AD FS na Internet de forma que dados de carga IP podem potencialmente ser reescritos. Isso possivelmente inclui os seguintes tipos de dados:
      • Secure Sockets Layer (SSL) de ponte
      • Descarregamento de SSL
      • Filtragem de pacotes com monitoração de estado

        Para obter mais informações, consulte o seguinte artigo da Base de Conhecimento Microsoft:
        2510193Cenários com suporte para o uso do AD FS para configurar o logon único no Office 365, o Windows Azure ou o Windows Intune
    • Um aplicativo de descriptografia de SSL ou de monitoramento está instalado ou está ativo no computador cliente
  • Resolução do domínio Name System (DNS) do ponto de extremidade de serviço do AD FS foi executada por meio de pesquisa de registro CNAME em vez de por meio de uma pesquisa de registro A.
  • Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor do AD FS.

Antes de iniciar a solução de problemas

Verifique se o nome de usuário e senha não são a causa do problema.
  • Certifique-se de que o nome de usuário correto é usado e está no formato de nome principal (UPN) do usuário. Por exemplo, johnsmith@contoso.com.
  • Certifique-se de que a senha correta é usada. Para verificar se a senha correta é usada, talvez seja necessário redefinir a senha do usuário. Para obter mais informações, consulte o seguinte artigo do Microsoft TechNet:
    Redefinir uma senha de usuário
  • Certifique-se de que a conta não está bloqueada, expirou ou usada fora do horário de logon designado. Para obter mais informações, consulte o seguinte artigo do Microsoft TechNet:
    Gerenciamento de usuários

Verificar a causa

Para verificar se os problemas de Kerberos estão causando o problema, ignore temporariamente a autenticação Kerberos, a habilitação da autenticação baseada em formulários no farm de servidores de Federação do AD FS. Para fazer isso, execute as seguintes etapas:

Etapa 1: Editar o arquivo Web. config em cada servidor no farm de servidores de Federação do AD FS
  1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, faça uma cópia de backup do arquivo Web. config.
  2. Clique em Iniciar, clique em Todos os programas, em Acessórios, clique com botão direito o bloco de notase, em seguida, clique em Executar como administrador.
  3. Sobre o arquivo menu, clique em Abrir. No nome de arquivo , digiteC:\inetpub\adfs\ls\web.confige, em seguida, clique em Abrir.
  4. No arquivo Web. config, execute estas etapas:
    1. Localize a linha que contém <authentication mode=""> </authentication>e altere-a para <authentication mode="Forms"> </authentication>.
    2. Localize a seção que começa com <localAuthenticationTypes> </localAuthenticationTypes>e altere a seção para que o <add name="Forms"></add> entrada será listada primeiro, da seguinte forma:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sobre o arquivo menu, clique em Salvar.
  6. Em um prompt de comando elevado, reinicie o IIS usando o comando iisreset .
Etapa 2: Funcionalidade de teste AD FS
  1. Em um computador cliente que tenha conectado e autenticado para o local ambiente do AD DS, entrar no portal de serviço de nuvem.

    Em vez de uma experiência de autenticação normal, um sign-in com base em formulários deve ocorrer. Se a entrada for bem-sucedida usando a autenticação baseada em formulários, isso confirma que existe um problema com o Kerberos no serviço de Federação do AD FS.
  2. Reverta a configuração de cada servidor no farm de servidores de Federação do AD FS para as configurações de autenticação anterior antes de executar as etapas na seção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de Federação do AD FS, siga estas etapas:
    1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, exclua o arquivo Web. config.
    2. Mover o backup do arquivo Web. config que você criou a "etapa 1: editar o arquivo Web. config em cada servidor no farm de servidores de Federação do AD FS" seção para a pasta C:\inetpub\adfs\ls\.
  3. Em um prompt de comando elevado, reinicie o IIS usando o comando iisreset .
  4. Verifique se o comportamento de autenticação do AD FS é revertido para o problema original.

SOLUÇÃO

Para resolver o problema de Kerberos que limita a autenticação do AD FS, use um ou mais dos seguintes métodos, conforme apropriado para a situação.

Resolução 1: Configurações de autenticação redefinir o AD FS para os valores padrão

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Se as configurações de autenticação do AD FS IIS estão incorretas ou não coincidem com as configurações de autenticação do IIS para serviços de Proxy e dos serviços de Federação do AD FS, uma solução é redefinir todas as configurações de autenticação do IIS com as configurações padrão do AD FS.

As configurações de autenticação padrão estão listadas na tabela a seguir.
Recolher esta tabelaExpandir esta tabela
Aplicativo virtualNíveis de autenticação
Site da Web padrão/adfsAutenticação anônima
Site da Web padrão/adfs/lsAutenticação anônima
Autenticação do Windows
Em cada servidor de Federação do AD FS e cada proxy de servidor de Federação do AD FS, use as informações no seguinte artigo do Microsoft TechNet para redefinir os aplicativos virtuais do IIS do AD FS para as configurações de autenticação padrão:
Configuração de autenticação no IIS 7
Para obter mais informações sobre como resolver esse erro, consulte os seguintes artigos da Base de Conhecimento Microsoft:
907273 Solucionando problemas de erros de HTTP 401 no IIS

871179 Você receberá um "Erro de HTTP 401.1 - não autorizado: acesso negado devido a credenciais inválidas" mensagem de erro quando você tentar acessar um site que faz parte de um pool de aplicativos do IIS 6.0

Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 2: Corrigir o farm de servidores de Federação do AD FS SPN

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
ObservaçãoTente essa resolução apenas quando o AD FS é implementado como um farm de servidor de Federação. Não tente essa resolução em uma configuração autônoma do AD FS.

Para resolver o problema se o SPN para o serviço AD FS for perdido ou corrompido na conta de serviço do AD FS, execute estas etapas em um servidor no farm de servidores de Federação do AD FS:
  1. Abra o snap-in de gerenciamento de serviços. Para fazer isso, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
  2. Clique duas vezes em serviço de Windows (2.0) do AD FS.
  3. Sobre o Log On guia, observe a conta de serviço é exibida em Esta conta.
  4. Clique em Iniciar, em Todos os programas, em Acessórios, clique em Prompt de comandoe, em seguida, clique em Executar como administrador.
  5. Tipo SetSPN f ? q host /<AD fs="" service="" name=""></AD>, e então pressione Enter.

    ObservaçãoNeste comando, <AD fs="" service="" name=""></AD> representa o nome do serviço do domínio totalmente qualificado (FQDN) do nome do ponto de extremidade de serviço do AD FS. Ela não representa o nome do host do Windows do servidor do AD FS.
    • Se mais de uma entrada é retornada para o comando e o resultado é associado uma conta de usuário diferente daquele que foi observado na etapa 3, remova a associação. Para fazer isso, execute o seguinte comando:
      SetSPN ?d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se mais de uma entrada é retornada para o comando e o SPN usa o mesmo nome como o nome do computador do servidor do AD FS no Windows, o nome de ponto de extremidade de Federação do AD FS é incorreto. O AD FS deve ser implementado novamente. O FQDN do farm de servidor de Federação do AD FS não pode ser idêntico ao nome de host do Windows de um servidor existente.
    • Se o SPN não existir, execute o seguinte comando:
      SetSPN ?a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      ObservaçãoNeste comando, <username of="" service="" account=""></username> representa o nome de usuário foi anotado na etapa 3.
  6. Depois que as etapas são realizadas em todos os servidores no farm de servidores de Federação do AD FS, com o botão direito o Serviço do Windows do AD FS (2.0) no snap-in Gerenciamento de serviços e, em seguida, clique em Reiniciar.
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 3: Resolver proteção estendido para questões de autenticação

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Para resolver o problema se proteção estendida para autenticação impede a autenticação com êxito, use um dos seguintes métodos recomendados:
  • Método 1: usar o Windows Internet Explorer 8 (ou uma versão posterior do programa) para entrar.
  • Método 2: publicar serviços do AD FS na Internet de forma que a ponte SSL, descarregamento de SSL ou filtragem de pacotes com monitoração de estado não regrava dados de carga IP. A proposta das práticas recomendadas para essa finalidade é usar um servidor de Proxy do AD FS.
  • Método 3: fechar ou desativar monitoramento ou aplicativos descriptografar o SSL.
Se você não pode usar qualquer um dos seguintes métodos como solução alternativa para esse problema, proteção estendida para autenticação pode ser desativada para clientes passivos e ativos.

Solução alternativa: Desabilitar proteção estendida para autenticação

AvisoNão é recomendável que você usar esse procedimento como uma solução a longo prazo. Desabilitar a proteção estendida para autenticação enfraquece o perfil de segurança de serviço do AD FS detectando não certos ataques de interceptação em pontos de extremidade de autenticação integrada do Windows.

Observação Quando esta solução alternativa for aplicada para a funcionalidade do aplicativo de terceiros, você também deve desinstalar hotfixes no sistema operacional do cliente para proteção estendida para autenticação. Para obter mais informações sobre os hotfixes, consulte o seguinte artigo da Base de Conhecimento Microsoft:
968389 Proteção estendida para autenticação
Para os clientes passivos
Para desativar a proteção estendida para autenticação de clientes passivos, execute o procedimento a seguir para os seguintes aplicativos virtuais do IIS em todos os servidores no farm de servidores de Federação do AD FS:
  • Site da Web padrão/adfs
  • Site da Web padrão/adfs/ls
Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e navegue para o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, consulte Abra o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página autenticação, selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , selecione Desativardoproteção estendido menu drop-down.
Para os clientes do active
Para desativar a proteção estendida para autenticação de clientes ativos, execute o procedimento a seguir no servidor primário do AD FS:
  1. Abrir o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para desativar a proteção estendida para autenticação:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Reabilitar a proteção estendida para autenticação

Para os clientes passivos
Para reabilitar a proteção estendida para autenticação de clientes passivos, execute o procedimento a seguir para os seguintes aplicativos virtuais do IIS em todos os servidores no farm de servidores de Federação do AD FS:
  • Site da Web padrão/adfs
  • Site da Web padrão/adfs/ls
Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e navegue para o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, consulte Abra o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página autenticação, selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , selecione Aceitarno menu suspenso Proteção estendida .
Para os clientes do active
Para reabilitar a proteção estendida para autenticação de clientes ativos, execute o procedimento a seguir no servidor primário do AD FS:
  1. Abrir o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para ativar a proteção estendida para autenticação:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 4: Substituir registros CNAME com registros do AD FS

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Usar ferramentas de gerenciamento de DNS para substituir cada registro de Alias do DNS (CNAME) que é usado para o serviço de Federação com um DNS (A) registro de endereço. Além disso, verifique ou considere as configurações de DNS corporativas quando a configuração de DNS Split-Brain é implementada. Para obter mais informações sobre como gerenciar os registros de DNS, consulte o seguinte site da Microsoft TechNet:
Gerenciando registros de DNS
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

Resolução 5: Configurar o Internet Explorer como um cliente do AD FS para single sign-on (SSO)

Recolher esta imagemExpandir esta imagem
assets folding start collapsed
Para obter mais informações sobre como configurar o Internet Explorer para acessar o AD FS, consulte o seguinte artigo da Base de Conhecimento Microsoft:
2535227 Um usuário federado é-lhe pedido inesperadamente para inserir suas credenciais quando eles acessarem um recurso do Office 365
Recolher esta imagemExpandir esta imagem
assets folding end collapsed

OBTER MAIS INFORMAÇÕES

Para ajudar a proteger uma rede, o AD FS usa proteção estendida para autenticação. Proteção estendida para autenticação pode ajudar a impedir ataques no meio, no qual um invasor intercepta as credenciais do cliente e os encaminha para um servidor. Proteção contra esses ataques é possibilitada por meio de canal de ligação Works (CBT). CBT pode ser necessário, permitido ou não requerido pelo servidor quando as comunicações estabelecidas com os clientes.

A configuração ExtendedProtectionTokenCheck AD FS Especifica o nível de proteção estendida para autenticação é suportada pelo servidor de Federação. Estes são os valores disponíveis para esta configuração:
  • Exigir: O servidor não está totalmente protegido. Proteção estendida é aplicada.
  • Permitir: esta é a configuração padrão. O servidor está parcialmente protegido. Proteção estendida será aplicada a sistemas envolvidos são alterados para oferecer suporte a esse recurso.
  • Nenhum: O servidor está vulnerável. Proteção estendida não é imposta.
As tabelas a seguir descrevem o funcionamento da autenticação de três sistemas operacionais e navegadores, dependendo das opções de proteção estendida diferentes que estão disponíveis no AD FS com o IIS.

Observação Sistemas operacionais clientes Windows deve ter as atualizações específicas que são instaladas para usar com eficiência os recursos de proteção estendida. Por padrão, os recursos são ativados no AD FS. Essas atualizações estão disponíveis no seguinte artigo da Base de Conhecimento Microsoft:
968389 Proteção estendida para autenticação
Por padrão, o Windows 7 inclui os binários apropriado para usar proteção estendida.

Windows 7 (ou versões atualizadas adequadamente do Windows Vista ou do Windows XP)
Recolher esta tabelaExpandir esta tabela
ConfiguraçãoExigirPermitir (padrão)Nenhum
Comunicação do Windows
Cliente Foundation (WCF) (todos os pontos de extremidade)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaFalhaWorks
Safari 4.0.4FalhaFalhaWorks
Windows Vista sem atualizações apropriadas
Recolher esta tabelaExpandir esta tabela
ConfiguraçãoExigirPermitir (padrão)Nenhum
Cliente do WCF (todos os pontos de extremidade)FalhaWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Windows XP sem atualizações apropriadas
Recolher esta tabelaExpandir esta tabela
ConfiguraçãoExigirPermitir (padrão)Nenhum
Internet Explorer 8WorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Para obter mais informações sobre a proteção estendida para autenticação, consulte os seguintes recursos da Microsoft:
968389 Proteção estendida para autenticação
Configuração de opções avançadas do AD FS 2.0
Para obter mais informações sobre o cmdlet Set-ADFSProperties , consulte o seguinte site da Microsoft:
Conjunto de ADFSProperties

Vídeo: Looping credencial solicita ao entrar no Office 365 usando uma identidade federada conta

Recolher esta imagemExpandir esta imagem
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Recolher esta imagemExpandir esta imagem
assets video2

Vídeo: Os usuários federados são repetidas solicitações de credenciais e não é possível iniciar sessão no Office 365

Recolher esta imagemExpandir esta imagem
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Recolher esta imagemExpandir esta imagem
assets video2

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 site ou o Fóruns do Windows Azure do Active Directory site da Web.

Os produtos de terceiros descritos neste artigo são fabricados por empresas que são independentes da Microsoft. Microsoft não oferece nenhuma garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos

Propriedades

ID do artigo: 2461628 - Última revisão: domingo, 9 de março de 2014 - Revisão: 21.0
A informação contida neste artigo aplica-se a:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Palavras-chave: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2461628

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com