Пасивната заявка за федериране е неуспешна при достъп до приложение чрез AD FS и удостоверяване на формуляри, след като преди това сте се свързвали с Microsoft Dynamics CRM и с помощта на AD FS

Отнася се за
Dynamics CRM 2013 Microsoft Dynamics CRM 2013 Service Pack 1 Dynamics CRM 2015

Симптоми

Пасивната заявка за федериране е неуспешна при достъп до приложение, като например SharePoint, което използва AD FS и удостоверяване на формуляри, след като преди това сте се свързали с Microsoft Dynamics CRM с удостоверяване, базирано на искове

Тя е неуспешна със следната грешка:

Възникна грешка по време на пасивно искане за федериране.
Допълнителни данни
Име на протокол:
Проверяваща страна:
Подробности за изключения:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: Няма регистрирани манипулатори на протоколи на пътя /adfs/ls/ за обработка на входящата заявка.
в Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(контекст WrappedHttpListenerContext)

Сценарий за излизане:
20 минути преди изтичане на срока на маркера по-долу е показан диалоговият прозорец с опции за влизане или отказ. Щракването върху "Влизане" не пренасочва към страницата за влизане на ADFS, подкаваща за потребителско име и парола. Вместо това той представя страница за излизане от ADFS. Referece – удостоверяване въз основа на искове и изтичане на срока на маркер за защита.

c971e483-3aa4-9c63-427b-8a64639ed93d

Причина

Проблемът е причинен от дублирана бисквитка MSISAuth, издадена от Microsoft Dynamics CRM като бисквитка на домейн с AD FS пространство на имената. Това име на бисквитка не е уникално и когато се осъществи достъп до друго приложение, като например SharePoint, то се показва с дублирана бисквитка. Това води до неуспешно удостоверяване.

Сценарият "Излизане" е причинен от бисквитка за излизане, издадена от Microsoft Dynamics CRM като бисквитка за домейн, вижте примера по-долу. Тази бисквитка е бисквитка на домейн и когато бъде представена на ADFS, тя се разглежда за целия домейн, например *.contoso.com/. Това води до неуспешен поток за повторно удостоверяване и ADFS показва страница за излизане.

Set-Cookie: MSISSignOut=; domain=contoso.com; път=/; сигурен; Само httpOnly

Решение

За да отстраните този проблем, ще трябва да конфигурирате Microsoft Dynamics CRM със стойност на поддомейн, например crm.domain.com. Това ще изисква друг заместващ сертификат, като например *.crm.domain.com.

След като извършите тези промени, ще трябва да конфигурирате отново удостоверяване и IFD, като използвате правилните крайни точки, както е показано по-долу:

  1. автентикация.<subdomain.domain.com>
  2. dev.<subdomain.domain.com>
  3. org.<subdomain.domain.com>

      

Повече информация

За допълнителни подробности относно конфигурирането на удостоверяване въз основа на искове и IFD за Microsoft Dynamics CRM вижте следната връзка:

Конфигуриране на удостоверяване, базирано на искове, за Microsoft Dynamics CRM сървър