Federasyon kullanıcıdan Microsoft 365, Azure veya Intune oturum açma sırasında sürekli olarak kimlik bilgileri istenir

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Önemli

Bu makale, güvenlik ayarlarını düşürmeye veya bilgisayardaki güvenlik özelliklerini kapatmaya yardımcı olduğunu gösteren bilgiler içerir. Belirli bir soruna geçici bir çözüm bulmak için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümü kendi ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu geçici çözümü uygularsanız, bilgisayarın korunmasına yardımcı olmak için uygun ek adımları uygulayın.

Sorun

Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açma sırasında kullanıcı Active Directory Federasyon Hizmetleri (AD FS) (AD FS) hizmet uç noktasında kimlik doğrulaması yapmaya çalıştığında, federasyon kullanıcıdan sürekli olarak kimlik bilgileri istenir. Kullanıcı iptal ettiğinde, kullanıcı Erişim Reddedildi hata iletisini alır.

Neden

Belirti, AD FS ile Windows Tümleşik kimlik doğrulamasıyla ilgili bir sorunu gösterir. Aşağıdaki koşullardan biri veya daha fazlası doğruysa bu sorun oluşabilir:

  • Yanlış bir kullanıcı adı veya parola kullanıldı.

  • Internet Information Services (IIS) kimlik doğrulama ayarları AD FS'de yanlış ayarlanmıştır.

  • AD FS federasyon sunucusu grubu çalıştırmak için kullanılan hizmet hesabıyla ilişkili hizmet asıl adı (SPN) kaybolur veya bozulur.

    Not

    Bu durum yalnızca AD FS bir federasyon sunucusu grubu olarak uygulandığında ve tek başına yapılandırmada uygulanmadığında oluşur.

  • Aşağıdakilerden biri veya daha fazlası, Kimlik Doğrulaması için Genişletilmiş Koruma tarafından ortadaki adam saldırısının kaynağı olarak tanımlanır:

    • Bazı üçüncü taraf İnternet tarayıcıları
    • Kurumsal ağ güvenlik duvarı, ağ yük dengeleyici veya başka bir ağ cihazı, AD FS Federasyon Hizmeti'ni IP yükü verilerinin yeniden yazılabilmesi için İnternet'te yayımlıyor. Bu muhtemelen aşağıdaki veri türlerini içerir:

      • Güvenli Yuva Katmanı (SSL) köprü oluşturma

      • SSL boşaltma

      • Durum bilgisi olan paket filtreleme

        Ek bilgi için, aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

        2510193 Microsoft 365, Azure veya Intune'da çoklu oturum açmayı ayarlamak için AD FS kullanımına yönelik desteklenen senaryolar

    • İstemci bilgisayarda bir izleme veya SSL şifre çözme uygulaması yüklü veya etkin

  • AD FS hizmet uç noktasının Etki Alanı Adı Sistemi (DNS) çözümlemesi, A kaydı araması yerine CNAME kayıt araması aracılığıyla gerçekleştirildi.

  • Windows Internet Explorer, Windows Tümleşik kimlik doğrulamasını AD FS sunucusuna geçirecek şekilde yapılandırılmamış.

Sorun gidermeye başlamadan önce

Sorunun nedeninin kullanıcı adı ve parola olup olmadığını denetleyin.

  • Doğru kullanıcı adının kullanıldığından ve kullanıcı asıl adı (UPN) biçiminde olduğundan emin olun. Örneğin, johnsmith@contoso.com.

  • Doğru parolanın kullanıldığından emin olun. Doğru parolanın kullanıldığını bir kez daha denetlemek için kullanıcı parolasını sıfırlamanız gerekebilir. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:

    Kullanıcı Parolasını Sıfırlama

  • Hesabın kilitlenmediğinden, süresi dolmadığından veya belirlenen oturum açma saatleri dışında kullanılmadığından emin olun. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın: Kullanıcıları Yönetme

Nedenini doğrulama

Soruna Kerberos sorunlarının neden olup olmadığını denetlemek için AD FS federasyon sunucusu grubunda form tabanlı kimlik doğrulamasını etkinleştirerek Kerberos kimlik doğrulamasını geçici olarak atlayabilirsiniz. Bunu yapmak için şu adımları uygulayın:

1. Adım: AD FS federasyon sunucusu grubundaki her sunucuda web.config dosyasını düzenleme

  1. Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve web.config dosyasının yedek kopyasını oluşturun.

  2. Başlat'a tıklayın, Tüm Programlar'a tıklayın, Donatılar'a tıklayın, Not Defteri'ne sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.

  3. Dosya menüsünde, 'a tıklayın. Dosya Adı kutusuna C:\inetpub\adfs\ls\web.config yazın ve Aç'a tıklayın.

  4. web.config dosyasında şu adımları izleyin:

    1. Kimlik doğrulama modunu> içeren< satırı bulun ve ardından authentication mode="Forms"/> olarak değiştirin<.

    2. localAuthenticationTypes> ile < başlayan bölümü bulun ve ardından add name="Forms"> girişinin < ilk olarak aşağıdaki gibi listelenmesi için bölümünü değiştirin:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. Dosya menüsünde Kaydet'e tıklayın.

  6. Yükseltilmiş bir komut isteminde iisresetcommand komutunu kullanarak IIS'yi yeniden başlatın.

2. Adım: AD FS işlevselliğini test edin

  1. Şirket içi AD DS ortamına bağlı ve kimliği doğrulanmış bir istemci bilgisayarda bulut hizmeti portalında oturum açın.

    Sorunsuz bir kimlik doğrulama deneyimi yerine form tabanlı oturum açma deneyimi yaşanmalıdır. Form tabanlı kimlik doğrulaması kullanılarak oturum açma başarılı olursa, bu, AD FS Federasyon Hizmeti'nde Kerberos ile ilgili bir sorunun olduğunu onaylar.

  2. "Çözüm" bölümündeki adımları izlemeden önce AD FS federasyon sunucusu grubundaki her sunucunun yapılandırmasını önceki kimlik doğrulama ayarlarına geri döndürebilirsiniz. AD FS federasyon sunucusu grubundaki her sunucunun yapılandırmasını geri almak için şu adımları izleyin:

    1. Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve web.config dosyasını silin.
    2. "1. Adım: AD FS federasyon sunucusu grubundaki her sunucuda web.config dosyasını düzenleme" bölümünde oluşturduğunuz web.config dosyasının yedeğini C:\inetpub\adfs\ls\ klasörüne taşıyın.

  3. Yükseltilmiş bir komut isteminde iisresetcommand komutunu kullanarak IIS'yi yeniden başlatın.

  4. AD FS kimlik doğrulama davranışının özgün soruna geri döndüğünü denetleyin.

Çözüm

AD FS kimlik doğrulamasını sınırlayan Kerberos sorununu çözmek için, duruma uygun olarak aşağıdaki yöntemlerden birini veya daha fazlasını kullanın.

Çözüm 1: AD FS kimlik doğrulama ayarlarını varsayılan değerlere sıfırlama

AD FS IIS kimlik doğrulama ayarları yanlışsa veya AD FS Federasyon Hizmetleri ve Ara Sunucu Hizmetleri için IIS kimlik doğrulama ayarları eşleşmiyorsa, çözümlerden biri tüm IIS kimlik doğrulama ayarlarını varsayılan AD FS ayarlarına sıfırlamaktır.

Varsayılan kimlik doğrulama ayarları aşağıdaki tabloda listelenmiştir.

Sanal uygulama Kimlik doğrulama düzeyleri
Varsayılan Web Sitesi/adfs Anonim kimlik doğrulaması
Varsayılan Web Sitesi/adfs/ls Anonim kimlik doğrulaması, Windows kimlik doğrulaması

Her AD FS federasyon sunucusunda ve her AD FS federasyon sunucusu proxy'sinde, AD FS IIS sanal uygulamalarını varsayılan kimlik doğrulama ayarlarına sıfırlamak için aşağıdaki Microsoft TechNet makalesindeki bilgileri kullanın:

IIS 7'de Kimlik Doğrulamasını Yapılandırma

Çözüm 2: AD FS federasyon sunucusu grubu SPN'sini düzeltme

Not

Bu çözümü yalnızca AD FS bir federasyon sunucusu grubu olarak uygulandığında deneyin. Ad FS tek başına yapılandırmasında bu çözümü denemeyin.

AD FS hizmetinin SPN'sinin AD FS hizmet hesabında kaybolması veya bozulması sorununu çözmek için, AD FS federasyon sunucusu grubundaki bir sunucuda şu adımları izleyin:

  1. Hizmetler yönetimi ek bileşenini açın. Bunu yapmak için Başlat'a, Tüm Programlar'a, Yönetim Araçları'na ve ardından Hizmetler'e tıklayın.

  2. AD FS (2.0) Windows Hizmeti'ne çift tıklayın.

  3. Oturum Aç sekmesinde, Bu Hesap'ta görüntülenen hizmet hesabını not edin.

  4. Başlat'a tıklayın, Tüm Programlar'a tıklayın, Donatılar'a tıklayın, Komut İstemi'ne sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.

  5. Aşağıdaki komutu yazın ve Enter tuşuna basın.

    SetSPN –f –q host/<AD FS service name>

    Not

    Bu komutta AD FS hizmet adı>, <AD FS hizmet uç noktasının tam etki alanı adı (FQDN) hizmet adını temsil eder. AD FS sunucusunun Windows ana bilgisayar adını temsil etmez.

    • Komut için birden fazla giriş döndürülürse ve sonuç, 3. adımda not edilenden başka bir kullanıcı hesabıyla ilişkilendirilirse, bu ilişkilendirmeyi kaldırın. Bunu yapmak için aşağıdaki komutu çalıştırın:

      SetSPN –d host/<AD FS service name><bad_username>

    • Komut için birden fazla giriş döndürülürse ve SPN, Windows'daki AD FS sunucusunun bilgisayar adıyla aynı adı kullanırsa, AD FS için federasyon uç noktası adı yanlıştır. AD FS'nin yeniden uygulanması gerekir. AD FS federasyon sunucusu grubunun FQDN'sinin mevcut sunucunun Windows ana bilgisayar adıyla aynı olmaması gerekir.

    • SPN zaten yoksa aşağıdaki komutu çalıştırın:

      SetSPN –a host/<AD FS service name><username of service account>

      Not

      Bu komutta, <hizmet hesabının> kullanıcı adı 3. adımda belirtilen kullanıcı adını temsil eder.

  6. Bu adımlar AD FS federasyon sunucusu grubundaki tüm sunucularda gerçekleştirildikten sonra, Hizmetler yönetimi ek bileşeninde AD FS (2.0) Windows Hizmeti'ne sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.

Çözüm 3: Kimlik Doğrulaması sorunları için Genişletilmiş Korumayı çözme

Kimlik Doğrulaması için Genişletilmiş Koruma başarılı kimlik doğrulamasını engelliyorsa sorunu çözmek için aşağıdaki önerilen yöntemlerden birini kullanın:

  • Yöntem 1: Oturum açmak için Windows Internet Explorer 8'i (veya programın sonraki bir sürümünü) kullanın.
  • Yöntem 2: AD FS hizmetlerini, SSL köprü oluşturma, SSL boşaltma veya durum bilgisi olan paket filtrelemenin IP yükü verilerini yeniden yazmaması için İnternet'te yayımlayın. Bu amaç için en iyi yöntem, AD FS Proxy Sunucusu kullanmaktır.
  • Yöntem 3: İzleme veya SSL şifresini çözme uygulamalarını kapatın veya devre dışı bırakın.

Bu yöntemlerden hiçbirini kullanamıyorsanız, bu sorunu geçici olarak çözmek için, pasif ve etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma devre dışı bırakılabilir.

Geçici çözüm: Kimlik Doğrulaması için Genişletilmiş Korumayı Devre Dışı Bırakma

Uyarı

Bu yordamı uzun vadeli bir çözüm olarak kullanmanızı önermeyiz. Kimlik Doğrulaması için Genişletilmiş Koruma'nın devre dışı bırakılması, Tümleşik Windows Kimlik Doğrulaması uç noktalarındaki belirli ortadaki adam saldırılarını algılamayarak AD FS hizmet güvenlik profilini zayıflatır.

Not

Bu geçici çözüm üçüncü taraf uygulama işlevselliği için uygulandığında, Kimlik Doğrulaması için Genişletilmiş Koruma için istemci işletim sistemindeki düzeltmeleri de kaldırmanız gerekir.

Pasif istemciler için

Pasif istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı devre dışı bırakmak için, AD FS federasyon sunucusu grubundaki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı uygulayın:

  • Varsayılan Web Sitesi/adfs
  • Varsayılan Web Sitesi/adfs/ls

Bunu yapmak için şu adımları uygulayın:

  1. IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Yöneticisi'nin açılması hakkında bilgi için bkz. OPEN IIS Manager (IIS 7).
  2. Özellikler Görünümü'nde Kimlik Doğrulama'ya çift tıklayın.
  3. Kimlik Doğrulaması sayfasında Windows Kimlik Doğrulaması'nı seçin.
  4. Eylemler bölmesinde Gelişmiş Ayarlar'a tıklayın.
  5. Gelişmiş Ayarlar iletişim kutusu görüntülendiğinde Genişletilmiş Koruma açılan menüsünde Kapalı'yı seçin.

Etkin istemciler için

Etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı devre dışı bırakmak için birincil AD FS sunucusunda aşağıdaki yordamı uygulayın:

  1. Windows PowerShell açın.

  2. AD FS ek bileşeninin Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Kimlik Doğrulaması için Genişletilmiş Koruma'nın devre dışı bırakılması için aşağıdaki komutu çalıştırın:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirme

Pasif istemciler için

Pasif istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirmek için, AD FS federasyon sunucusu grubundaki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı uygulayın:

  • Varsayılan Web Sitesi/adfs
  • Varsayılan Web Sitesi/adfs/ls

Bunu yapmak için şu adımları uygulayın:

  1. IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Yöneticisi'nin açılması hakkında bilgi için bkz. OPEN IIS Manager (IIS 7).
  2. Özellikler Görünümü'nde Kimlik Doğrulama'ya çift tıklayın.
  3. Kimlik Doğrulaması sayfasında Windows Kimlik Doğrulaması'nı seçin.
  4. Eylemler bölmesinde Gelişmiş Ayarlar'a tıklayın.
  5. Gelişmiş Ayarlar iletişim kutusu görüntülendiğinde, Genişletilmiş Koruma açılan menüsünden Kabul Et'i seçin.

Etkin istemciler için

Etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirmek için birincil AD FS sunucusunda aşağıdaki yordamı uygulayın:

  1. Windows PowerShell açın.

  2. AD FS ek bileşeninin Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Kimlik Doğrulaması için Genişletilmiş Koruma'yı etkinleştirmek için aşağıdaki komutu çalıştırın:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Çözüm 4: CNAME kayıtlarını AD FS için A kayıtlarıyla değiştirme

Federasyon hizmeti için kullanılan her DNS Diğer Adı (CNAME) kaydını bir DNS adresi (A) kaydıyla değiştirmek için DNS yönetim araçlarını kullanın. Ayrıca, bölünmüş beyinli bir DNS yapılandırması uygulandığında şirket DNS ayarlarını denetleyin veya göz önünde bulundurun. DNS kayıtlarını yönetme hakkında daha fazla bilgi için bkz. DNS Kayıtlarını Yönetme.

5. Çözüm: Internet Explorer'ı çoklu oturum açma (SSO) için AD FS istemcisi olarak ayarlama

AD FS erişimi için Internet Explorer'ı ayarlama hakkında daha fazla bilgi için bkz. Federasyon kullanıcıdan beklenmedik şekilde iş veya okul hesabı kimlik bilgilerini girmesi istenir.

Daha fazla bilgi

AD FS, ağın korunmasına yardımcı olmak için Kimlik Doğrulaması için Genişletilmiş Koruma'yı kullanır. Kimlik Doğrulaması için Genişletilmiş Koruma, bir saldırganın istemcinin kimlik bilgilerini ele geçirip bir sunucuya ilettiği ortadaki adam saldırılarını önlemeye yardımcı olabilir. Kanal Bağlama İşleri (CBT) kullanılarak bu tür saldırılara karşı koruma mümkün hale getirilmektedir. İstemcilerle iletişim kurulduğunda CBT sunucu tarafından gerekli, izin verilebilir veya gerekli olmayabilir.

ExtendedProtectionTokenCheck AD FS ayarı, federasyon sunucusu tarafından desteklenen kimlik doğrulaması için genişletilmiş koruma düzeyini belirtir. Bu ayar için kullanılabilir değerler şunlardır:

  • Gerekli: Sunucu tamamen sağlamlaştırılmıştır. Genişletilmiş koruma uygulanır.
  • İzin Ver: Bu varsayılan ayardır. Sunucu kısmen sağlamlaştırılmıştır. Bu özelliği destekleyecek şekilde değiştirilen ilgili sistemler için genişletilmiş koruma uygulanır.
  • Yok: Sunucu güvenlik açığına açık. Genişletilmiş koruma zorunlu tutulmaz.

Aşağıdaki tablolarda, IIS ile AD FS'de kullanılabilen farklı Genişletilmiş Koruma seçeneklerine bağlı olarak kimlik doğrulamasının üç işletim sistemi ve tarayıcı için nasıl çalıştığı açıklanmaktadır.

Not

Windows istemci işletim sistemleri, Genişletilmiş Koruma özelliklerini etkili bir şekilde kullanmak için yüklü olan belirli güncelleştirmelere sahip olmalıdır. Varsayılan olarak, özellikler AD FS'de etkinleştirilir.

Varsayılan olarak, Windows 7 Genişletilmiş Koruma'yı kullanmak için uygun ikili dosyaları içerir.

Windows 7 (veya Windows Vista veya Windows XP'nin uygun şekilde güncelleştirilmiş sürümleri)

Ayar Gerektirir İzin ver (varsayılan) Yok
Windows Communication Foundation (WCF) İstemcisi (Tüm uç noktalar) Çalışır Çalışır Çalışır
Internet Explorer 8 ve sonraki sürümleri Çalışır Çalışır Çalışır
Firefox 3.6 Başarısız Başarısız Çalışır
Safari 4.0.4 Başarısız Başarısız Çalışır

Uygun güncelleştirmeler olmadan Windows Vista

Ayar Gerektirir İzin ver (varsayılan) Yok
WCF İstemcisi (Tüm uç noktalar) Başarısız Çalışır Çalışır
Internet Explorer 8 ve sonraki sürümleri Çalışır Çalışır Çalışır
Firefox 3.6 Başarısız Çalışır Çalışır
Safari 4.0.4 Başarısız Çalışır Çalışır

Uygun güncelleştirmeler olmadan Windows XP

Ayar Gerektirir İzin ver (varsayılan) Yok
Internet Explorer 8 ve sonraki sürümleri Çalışır Çalışır Çalışır
Firefox 3.6 Başarısız Çalışır Çalışır
Safari 4.0.4 Başarısız Çalışır Çalışır

Kimlik Doğrulaması için Genişletilmiş Koruma hakkında daha fazla bilgi için aşağıdaki Microsoft kaynağına bakın:

AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma

Set-ADFSProperties cmdlet'i hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:

Set-ADFSProperties

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.