Přihlášení k Microsoftu 365, Azure nebo Intune po změně koncového bodu federační služby selže.
Problém
Po změně nastavení koncového bodu služby Active Directory Federation Services (AD FS) (AD FS) v konzole pro správu služby AD FS se ověřování pomocí jednotného přihlašování (SSO) u cloudové služby Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune nezdaří a u vás dojde k jednomu z následujících příznaků:
- Federovaný uživatel se nemůže přihlásit k Microsoftu 365, Azure nebo Intune pomocí bohatých klientských aplikací.
- Aplikace prohlížeče opakovaně vyzývají uživatele k zadání přihlašovacích údajů při pokusu o ověření ve službě AD FS během ověřování pomocí jednotného přihlašování.
Příčina
K tomuto problému může dojít, pokud platí jedna z následujících podmínek:
- Koncové body služby AD FS jsou nesprávně nakonfigurované.
- Ověřování protokolem Kerberos na serveru SLUŽBY AD FS je přerušeno.
Řešení
Pokud chcete tento problém vyřešit, použijte jednu z následujících metod, která odpovídá vaší situaci.
Řešení 1: Obnovení výchozí konfigurace koncového bodu služby AD FS
Pokud chcete obnovit výchozí nastavení koncového bodu služby AD FS, na primárním serveru AD FS postupujte takto:
Otevřete konzolu pro správu služby AD FS a v levém navigačním podokně přejděte na SLUŽBU AD FS, pak na Služba a koncové body.
Zkontrolujte seznam koncových bodů a ujistěte se, že jsou položky v tomto seznamu povolené tak, jak je uvedeno (minimálně):
Cesta url Povoleno Proxy server je povolený /adfs/ls/ Pravda Pravda /adfs/services/trust/2005/windowstransport Pravda Nepravda /adfs/services/trust/2005/certificatemixed Pravda Pravda /adfs/services/trust/2005/certificatetransport Pravda Pravda /adfs/services/trust/2005/usernamemixed Pravda Pravda /adfs/services/trust/2005/kerberosmixed Pravda Nepravda /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Pravda Pravda /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Pravda Pravda /adfs/services/trust/13/kerberosmixed Pravda Nepravda /adfs/services/trust/13/certificatemixed Pravda Pravda /adfs/services/trust/13/usernamemixed Pravda Pravda /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Pravda Pravda /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Pravda Pravda /adfs/services/trusttcp/windows Pravda Nepravda /adfs/services/trust/mex Pravda Pravda /FederationMetadata/2007-06/FederationMetadata.xml Pravda Pravda /adfs/ls/federationserverservice.asmx Pravda Nepravda Pokud se položka v seznamu neshoduje s výchozím nastavením v předchozí tabulce, klikněte na ni pravým tlačítkem myši a pak podle potřeby vyberte Povolit nebo Povolit na proxy serveru.
Poznámka
WS-Trust koncové body Windows (/adfs/services/trust/2005/windowstransport a /adfs/services/trust/13/windowstransport) jsou určené jenom jako intranetové koncové body, které používají vazbu WIA na HTTPS.
Tyto koncové body by měly být vždy zakázané na proxy serveru (tj. zakázané z extranetu) kvůli ochraně uzamčení účtů AD.
Řešení 2: Řešení potíží s ověřováním kerberos
Další informace o řešení potíží s ověřováním protokolem Kerberos naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2461628 federovaného uživatele se při přihlašování k Microsoftu 365, Azure nebo Intune opakovaně zobrazuje výzva k zadání přihlašovacích údajů.
Další informace
Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro