Errore "Si è verificato un problema durante l'accesso al sito" da AD FS quando un utente federato accede a Microsoft 365, Azure o Intune

Problema

Quando un utente federato tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune, l'utente riceve il messaggio di errore seguente da Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Quando si verifica questo errore, la barra degli indirizzi del Web browser punta all'endpoint AD FS locale in un indirizzo simile al seguente:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Causa

Questo problema può verificarsi per uno dei motivi seguenti:

  • La configurazione dell'accesso Single Sign-On (SSO) tramite AD FS non è stata completata.
  • Il certificato di firma del token AD FS è scaduto.
  • Le attestazioni dei criteri di accesso client di AD FS sono configurate in modo non corretto.
  • L'attendibilità della relying party con Microsoft Entra ID è mancante o è configurata in modo errato.
  • Il server proxy federativo AD FS è configurato in modo non corretto o esposto in modo errato.
  • L'account IUSR di AD FS non dispone dell'autorizzazione utente "Rappresenta un client dopo l'autenticazione".

Soluzione

Per risolvere questo problema, usare il metodo appropriato per la situazione.

Scenario 1: Il certificato di firma del token AD FS è scaduto

Verificare se il certificato di firma del token è scaduto

Per verificare se il certificato di firma del token è scaduto, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi gestione di AD FS (2.0).
  2. Nella console di gestione di AD FS fare clic su Servizio, fare clic su Certificati e quindi esaminare le date di validità e scadenza per il certificato di firma del token AD FS.

Se il certificato è scaduto, deve essere rinnovato per ripristinare la funzionalità di autenticazione SSO.

Rinnovare il certificato di firma del token (se è scaduto)

Per rinnovare il certificato di firma del token nel server AD FS primario usando un certificato autofirmati, seguire questa procedura:

  1. Nella stessa console di gestione di AD FS fare clic su Servizio, fare clic su Certificati e quindi in **Certificazioni ** nel riquadro Azioni fare clic su Aggiungi Token-Signing certificato.
  2. Se viene visualizzato un avviso "I certificati non possono essere modificati mentre è abilitata la funzionalità di rollover automatico del certificato AD FS", andare al passaggio 3. In caso contrario, controllare le date di validità e scadenza del certificato. Se il certificato viene rinnovato correttamente, non è necessario eseguire i passaggi 3 e 4.
  3. Se il certificato non viene rinnovato, fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic sulla cartella Windows PowerShell, fare clic con il pulsante destro del mouse su Windows PowerShell e quindi scegliere Esegui come amministratore.
  4. Al prompt dei comandi Windows PowerShell immettere i comandi seguenti. Premere INVIO dopo aver immesso ogni comando:
    • Add-PSSnapin Microsoft.Adfs.PowerShell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Per rinnovare il certificato di firma del token nel server AD FS primario usando un certificato firmato da un'autorità di certificazione (CA), seguire questa procedura:

  1. Creare il file WebServerTemplate.inf. A tal fine, attenersi alla seguente procedura:

    1. Avviare Blocco note e aprire un nuovo documento vuoto.

    2. Incollare quanto segue nel file:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. Nel file modificare subject="CN=adfs.contoso.com" nel modo seguente:

      subject="CN=your-federation-service-name"

    4. Scegliere Salva con nome dal menu File.

    5. Nella finestra di dialogo** Salva con nome fare clic su Tutti i file (.) ** nella casella Salva con nome .

    6. Digitare WebServerTemplate.inf nella casella Nome file e quindi fare clic su Salva.

  2. Copiare il file WebServerTemplate.inf in uno dei server federativi di AD FS.

  3. Nel server AD FS aprire una finestra del prompt dei comandi amministrativa.

  4. Usare il comando cd(change directory) per passare alla directory in cui è stato copiato il file inf.

  5. Digitare il comando seguente e quindi premere INVIO:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Inviare il file di output, AdfsSSL.req, alla CA per la firma.

  7. La CA restituirà una parte di chiave pubblica firmata in formato p7b o .cer. Copiare questo file nel server AD FS in cui è stata generata la richiesta.

  8. Nel server AD FS aprire una finestra del prompt dei comandi amministrativa.

  9. Usare il comando cd(change directory) per passare alla directory in cui è stato copiato il file con estensione p7b o .cer.

  10. Digitare il comando seguente e quindi premere INVIO:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Completare il ripristino della funzionalità SSO

Indipendentemente dal fatto che venga usato un certificato autofirmata o con firma CA, è necessario completare il ripristino della funzionalità di autenticazione SSO. A tal fine, attenersi alla seguente procedura:

  1. Aggiungere l'accesso in lettura alla chiave privata per l'account del servizio AD FS nel server AD FS primario. A tal fine, attenersi alla seguente procedura:
    1. Fare clic su Start, fare clic su Esegui, digitare mmc.exe e quindi premere INVIO.
    2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
    3. Fare doppio clic su Certificati, selezionare Account computer e quindi fare clic su Avanti.
    4. Selezionare Computer locale, fare clic su Fine e quindi su OK.
    5. Espandere Certificati (computer locale), quindi Personale e infine fare clic su Certificati.
    6. Fare clic con il pulsante destro del mouse sul nuovo certificato di firma del token, scegliere Tutte le attività e quindi fare clic su Gestisci chiavi private.
    7. Aggiungere l'accesso in lettura all'account del servizio AD FS e quindi fare clic su OK.
    8. Uscire dallo snap-in Certificati.
  2. Aggiornare l'identificazione personale del nuovo certificato e la data dell'attendibilità della relying party con Microsoft Entra ID. A tale scopo, vedere la sezione "Come aggiornare la configurazione del dominio federato di Microsoft 365" in Come aggiornare o ripristinare le impostazioni di un dominio federato in Microsoft 365, Azure o Intune.
  3. Ricreare la configurazione dell'attendibilità del proxy AD FS. A tal fine, attenersi alla seguente procedura:
    1. Riavviare il servizio Windows AD FS nel server AD FS primario.
    2. Attendere 10 minuti per la replica del certificato in tutti i membri della server farm federativa e quindi riavviare il servizio Windows AD FS nel resto dei server AD FS.
    3. Eseguire nuovamente la Configurazione guidata proxy in ogni server proxy AD FS. Per altre informazioni, vedere Configurare un computer per il ruolo proxy del server federativo.

Scenario 2: i criteri di accesso client sono stati aggiornati di recente tramite attestazioni e ora l'accesso non funziona

Controllare se i criteri di accesso client sono stati applicati correttamente. Per altre informazioni, vedere Limitazione dell'accesso ai servizi di Microsoft 365 in base alla posizione del client.

Scenario 3: l'endpoint dei metadati della federazione o l'attendibilità della relying party può essere disabilitato

Abilitare l'endpoint dei metadati della federazione e l'attendibilità della relying party con Microsoft Entra ID nel server AD FS primario. A tal fine, attenersi alla seguente procedura:

  1. Aprire la console di gestione di AD FS 2.0.
  2. Assicurarsi che l'endpoint dei metadati della federazione sia abilitato. A tal fine, attenersi alla seguente procedura:
    1. Nel riquadro di spostamento a sinistra passare ad AD FS (2.0), Service, Endpoints.
    2. Nel riquadro centrale fare clic con il pulsante destro del mouse sulla voce /Federation Metadata/2007-06/FederationMetadata.xml e quindi scegliere Abilita e abilita nel proxy.
  3. Assicurarsi che l'attendibilità della relying party con Microsoft Entra ID sia abilitata. A tal fine, attenersi alla seguente procedura:
    1. Nel riquadro di spostamento a sinistra passare ad AD FS (2.0), quindi Trust Relationships (Relazioni di trust) e quindi Relying Party Trusts (Attendibilità relying party).
    2. Se è presente Microsoft Office 365 Identity Platform, fare clic con il pulsante destro del mouse su questa voce e quindi scegliere Abilita.
  4. Ripristinare l'attendibilità della relying party con Microsoft Entra ID visualizzando la sezione "Aggiornare le proprietà di attendibilità" di Verificare e gestire l'accesso Single Sign-On con AD FS.

Scenario 4: l'attendibilità della relying party potrebbe essere mancante o danneggiata

Rimuovere e aggiungere nuovamente l'attendibilità della relying party. A tal fine, attenersi alla seguente procedura:

  1. Accedere al server AD FS principale.
  2. Fare clic su Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi gestione di AD FS (2.0).
  3. Nella console di gestione espandere AD FS (2.0), espandere Relazioni di trust e quindi Trust relying party.
  4. Se Microsoft Office 365 Identity Platform è presente, fare clic con il pulsante destro del mouse su questa voce e quindi scegliere Elimina.
  5. Aggiungere nuovamente l'attendibilità della relying party visualizzando la sezione "Aggiornare le proprietà di attendibilità" di Verificare e gestire l'accesso Single Sign-On con AD FS.

Scenario 5: l'account del servizio AD FS non dispone dell'autorizzazione utente "Rappresenta un client dopo l'autenticazione"

Per concedere l'autorizzazione utente "Rappresenta un client dopo l'autenticazione" all'account del servizio IUSR di AD FS, vedere L'ID evento 128 - Configurazione dell'applicazione basata su token Windows NT.

Riferimenti

Per altre informazioni su come risolvere i problemi di accesso per gli utenti federati, vedere gli articoli della Microsoft Knowledge Base seguenti:

  • 2530569 Risolvere i problemi di installazione dell'accesso Single Sign-On in Microsoft 365, Intune o Azure
  • 2712961 Come risolvere i problemi di connessione degli endpoint AD FS quando gli utenti accedono a Microsoft 365, Intune o Azure

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.