Como resolver problemas de ligação de ponto final do AD FS quando os utilizadores iniciam sessão no Microsoft 365, Intune ou no Azure
Problema
Quando os utilizadores iniciam sessão num serviço cloud da Microsoft, como o Microsoft 365, Microsoft Intune ou o Microsoft Azure através de uma conta de utilizador federada, a ligação ao serviço Serviços de Federação do Active Directory (AD FS) (AD FS) só falha quando os utilizadores tentam fazer o seguinte:
- Ligar a partir de uma localização remota da Internet
- Utilizar ligações de e-mail para iniciar sessão
Esta situação também faz com que os testes de SSO que o Analisador de Conectividade Remota conduz falhem.
Para obter mais informações sobre como executar o Analisador de Conectividade Remota para testar a autenticação SSO no Microsoft 365, consulte os seguintes artigos na Base de Dados de Conhecimento Microsoft:
- 2650717 How to use Remote Connectivity Analyzer to troubleshoot single sign-on issues for Microsoft 365, Azure, or Intune
- 2466333 os utilizadores federados não conseguem ligar a uma caixa de correio Exchange Online
Causa
Estas falhas podem ocorrer se o serviço do AD FS não estiver exposto corretamente à Internet. Normalmente, o servidor proxy do AD FS é utilizado para esta finalidade e os problemas com o servidor proxy do AD FS irão causar estes sintomas. Os problemas comuns incluem o seguinte:
Certificado SSL expirado atribuído ao servidor proxy do AD FS
Frequentemente, o mesmo certificado SSL é utilizado para ajudar a proteger a comunicação (HTTPS) tanto para o Serviço de Federação do AD FS como para o servidor proxy do AD FS. Quando este certificado expirar e o certificado for renovado ou atualizado no farm de Serviços de Federação do AD FS, o certificado SSL também tem de ser atualizado em todos os servidores proxy do AD FS. Se o certificado SSL do servidor proxy do AD FS não for atualizado neste caso, as ligações à Internet ao serviço AD FS poderão falhar, apesar de o Serviço de Federação do AD FS estar em bom estado de funcionamento.
Configuração incorreta dos pontos finais de autenticação do IIS
A função do servidor proxy do AD FS é receber a comunicação com a Internet direcionada para o AD FS e reencaminhar essa comunicação para o Serviço de Federação do AD FS. Por conseguinte, é importante que a definição de autenticação do IIS do Serviço de Federação do AD FS e do servidor proxy seja complementar. Quando as definições de autenticação do IIS do servidor proxy do AD FS não estão definidas para complementar as definições de autenticação do IIS do Serviço de Federação do AD FS, o início de sessão pode falhar ou pode gerar vários pedidos inesperados.
Confiança quebrada entre o servidor proxy do AD FS e o Serviço de Federação do AD FS
O serviço proxy do AD FS foi concebido para ser instalado num computador não associado a um domínio. Por conseguinte, a comunicação entre o servidor proxy do AD FS e o Serviço de Federação do AD FS não pode ser baseada numa confiança ou credenciais do Active Directory. Em vez disso, a comunicação entre estas duas funções de servidor é estabelecida através de um token emitido para o servidor proxy do AD FS pelo Serviço de Federação do AD FS e assinado pelo certificado de assinatura de tokens do AD FS. Quando esta confiança expira ou é inválida, o Serviço Proxy do AD FS não consegue reencaminhar pedidos do AD FS e a confiança tem de ser reconstruída para restaurar a funcionalidade.
Solução
Para resolver este problema, utilize um dos seguintes métodos, conforme adequado para a sua situação, em todos os servidores proxy do AD FS com mau funcionamento.
Método 1: Corrigir problemas de certificado SSL do AD FS no servidor do AD FS
Para tal, siga estes passos:
Resolva problemas de certificadoS SSL no Serviço de Federação do AD FS (e não no Serviço Proxy) com o seguinte artigo da Base de Dados de Conhecimento Microsoft:
2523494 Recebe um aviso de certificado do AD FS quando tenta iniciar sessão no Microsoft 365, no Azure ou no Intune
Se o certificado SSL do Serviço de Federação do AD FS estiver a funcionar corretamente, atualize o certificado SSL no servidor proxy do AD FS com as funções de exportação e importação de certificados. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:
179380 Como remover, importar e exportar certificados digitais
Método 2: Repor as predefinições de autenticação do IIS do servidor proxy do AD FS
Para tal, siga os passos descritos na Resolução 1 do seguinte artigo da Base de Dados de Conhecimento Microsoft para o servidor proxy do AD FS:
2461628 é pedido repetidamente a um utilizador federado credenciais durante o início de sessão no Microsoft 365, no Azure ou no Intune
Método 3: Executar novamente o assistente de Configuração do Proxy do AD FS
Para tal, execute novamente o Assistente de Configuração do Proxy do Servidor de Federação do AD FS a partir da interface das Ferramentas Administrativas de todos os servidores proxy do AD FS afetados.
Nota
É habitual receber um aviso do passo "Implementar o Web site de início de sessão do browser" quando executar novamente o assistente de configuração. Isto não é uma indicação de que o assistente não recompilou a confiança entre o servidor proxy do AD FS e o Serviço de Federação do AD FS.
Mais informações
Para obter mais informações sobre como expor o serviço AD FS à Internet através de um servidor proxy do AD FS, aceda ao seguinte site da Microsoft:
Planear e implementar o AD FS 2.0 para utilização com o início de sessão único
Ainda necessita de ajuda? Vá para Comunidade Microsoft
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários