Se produce un error al iniciar sesión en Microsoft 365, Azure o Intune después de cambiar el punto de conexión del servicio de federación.
Problema
Después de cambiar la configuración del punto de conexión de servicio de Servicios de federación de Active Directory (AD FS) (AD FS) en la consola de administración de AD FS, se produce un error en la autenticación de inicio de sesión único (SSO) en un servicio en la nube de Microsoft, como Microsoft 365, Microsoft Azure o Microsoft Intune, y experimenta uno de los síntomas siguientes:
- Los usuarios federados no pueden iniciar sesión en Microsoft 365, Azure o Intune mediante aplicaciones cliente enriquecidas.
- Las aplicaciones del explorador solicitan repetidamente a los usuarios credenciales cuando intentan autenticarse en AD FS durante la autenticación sso.
Causa
Este problema puede producirse por los motivos siguientes:
- Los puntos de conexión de servicio de AD FS están configurados de forma inapropiada.
- La autenticación Kerberos en el servidor de AD FS está interrumpida.
Solución
Para resolver este problema, utilice uno de los siguientes métodos, según corresponda a su situación.
Resolución 1: Restauración de la configuración predeterminada del punto de conexión de servicio de AD FS
Para restaurar la configuración predeterminada del punto de conexión de servicio de AD FS, siga estos pasos en el servidor de AD FS principal:
Abra la consola de administración de AD FS y, en el panel de navegación izquierdo, vaya a AD FS, después a Servicio y, a continuación, a Puntos de conexión.
Examine la lista de puntos de conexión y asegúrese de que las entradas de esta lista estén habilitadas como se indica (como mínimo):
Ruta de acceso url Habilitado Proxy habilitado /adfs/ls/ True True /adfs/services/trust/2005/windowstransport True False /adfs/services/trust/2005/certificatemixed True True /adfs/services/trust/2005/certificatetransport True True /adfs/services/trust/2005/usernamemixed True True /adfs/services/trust/2005/kerberosmixed True False /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True /adfs/services/trust/13/kerberosmixed True False /adfs/services/trust/13/certificatemixed True True /adfs/services/trust/13/usernamemixed True True /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True /adfs/services/trusttcp/windows True False /adfs/services/trust/mex True True /FederationMetadata/2007-06/FederationMetadata.xml True True /adfs/ls/federationserverservice.asmx True False Si un elemento de la lista no coincide con la configuración predeterminada de la tabla anterior, haga clic con el botón derecho en la entrada y, a continuación, seleccione Habilitar o Habilitar en proxy según sea necesario.
Nota:
WS-Trust los puntos de conexión de Windows (/adfs/services/trust/2005/windowstransport y /adfs/services/trust/13/windowstransport) solo están diseñados para ser puntos de conexión orientados a intranet que usan el enlace WIA en HTTPS.
Estos puntos de conexión siempre deben mantenerse deshabilitados en el proxy (es decir, deshabilitados de la extranet) para proteger los bloqueos de cuentas de AD.
Resolución 2: Solución de problemas de autenticación Kerberos
Para obtener más información sobre cómo solucionar problemas de autenticación Kerberos, consulte el siguiente artículo de Microsoft Knowledge Base:
2461628 Se solicitan repetidamente credenciales a un usuario federado durante el inicio de sesión en Microsoft 365, Azure o Intune
Más información
¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de