Un usuario federado se pide repetidamente las credenciales durante el inicio de sesión en Office 365, Azure o Intune

Importante: este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución, tome las medidas adicionales oportunas para ayudar a proteger el equipo.

PROBLEMA

Un usuario federado se pide repetidamente las credenciales cuando el usuario intenta autenticarse en el extremo de servicio de los servicios de federación de Active Directory (AD FS) durante el inicio de sesión en un servicio de nube de Microsoft, como Office 365, Microsoft Azure o Microsoft Intune. Cuando el usuario cancela, el usuario recibe el siguiente mensaje de error:
Acceso denegado

CAUSA

El síntoma indica un problema con la autenticación integrada de Windows con AD FS. Este problema puede producirse si uno o más de las siguientes condiciones son verdaderas:
  • Se utilizó un nombre de usuario incorrecto o la contraseña.
  • Configuración de autenticación de servicios de Internet Information Server (IIS) se configura incorrectamente en AD FS.
  • El nombre principal de servicio (SPN) que está asociado con la cuenta de servicio que se utiliza para ejecutar el conjunto de servidores de federación de AD FS está perdido o dañado.

    Nota: Esto ocurre sólo cuando AD FS se implementa como un conjunto de servidores de federación y no se implementa en una configuración independiente.
  • Uno o más de los siguientes se identifican mediante protección ampliada para la autenticación como origen de un ataque de intermediario:
    • Algunos exploradores de Internet de terceros
    • El servidor de seguridad de la red corporativa, equilibrador de carga de red u otro dispositivo de red está publicando el servicio de federación de AD FS en Internet de tal manera que potencialmente pueden reescribir datos de la carga IP. Esto posiblemente incluye los siguientes tipos de datos:
      • Secure Sockets Layer (SSL) de puente
      • Descarga de SSL
      • El filtrado de paquetes con seguimiento de estado

        Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
        2510193 ofrece escenarios de uso de AD FS para configurar un inicio de sesión único de Office 365, Azure o Intune
    • Una aplicación de descifrado de SSL o supervisión está instalado o está activo en el equipo cliente
  • Resolución de sistema de nombres (DNS) del dominio del extremo de servicio de AD FS se realizó a través de la búsqueda de registro CNAME en lugar de a través de una búsqueda de registros.
  • Windows Internet Explorer no está configurado para pasar la autenticación integrada de Windows en el servidor de AD FS.

Antes de iniciar la solución de problemas

Compruebe que el nombre de usuario y la contraseña no son la causa del problema.
  • Asegúrese de que el nombre de usuario correcto se utiliza y está en formato de nombre principal (de usuario UPN) del usuario. Por ejemplo, johnsmith@contoso.com.
  • Asegúrese de que se utiliza la contraseña correcta. Para comprobar que se utiliza la contraseña correcta, tendrá que restablecer la contraseña de usuario. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
  • Asegúrese de que la cuenta no está bloqueada, caducada o usada fuera de las horas de inicio de sesión designado. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:

Compruebe la causa

Para comprobar que los problemas de Kerberos están causando el problema, omitir temporalmente la autenticación Kerberos al habilitar la autenticación basada en formularios en la granja de servidores de federación de AD FS. Para ello, siga estos pasos:

Paso 1: Editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS
  1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, haga una copia de seguridad del archivo web.config.
  2. Haga clic en Inicio, haga clic en Todos los programas, Accesorios, haga clic en Bloc de notasy, a continuación, haga clic en Ejecutar como administrador.
  3. En el menú archivo , haga clic en Abrir. En el cuadro Nombre de archivo , escriba C:\inetpub\adfs\ls\web.configy, a continuación, haga clic en Abrir.
  4. En el archivo web.config, siga estos pasos:
    1. Busque la línea que contiene < modo de autenticación =y, a continuación, cámbielo a < modo de autenticación = "Forms" / >.
    2. Busque la sección que comienza con < localAuthenticationTypes >y, a continuación, cambie la sección para que la < Agregar nombre = "Forms" entrada aparece en primer lugar, como sigue:
      <localAuthenticationTypes>
      < Agregar nombre = "Forms" page="FormsSignIn.aspx" / >
      < Agregar nombre = "Integrado" página = "auth/integrado /" / >
      < Agregar nombre = página de "TlsClient" = "auth/sslclient /" / >
      < Agregar nombre = "Basic" page = "auth básico /" / >
  5. En el menú archivo , haga clic en Guardar.
  6. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
Paso 2: Funcionalidad prueba de AD FS
  1. En un equipo cliente que se ha conectado y autenticado a los locales en el entorno de AD DS, iniciar sesión en el portal de servicio de nube.

    En lugar de una experiencia de la autenticación transparente, un signo de basada en formularios debe ser experimentado. Si el inicio de sesión es correcta mediante la autenticación basada en formularios, Esto confirma que existe un problema con Kerberos en el servicio de federación de AD FS.
  2. Revertir la configuración de cada servidor de la granja de servidores de federación de AD FS para la configuración de autenticación anteriores antes de seguir los pasos descritos en la sección "Solución". Para revertir la configuración de cada servidor de la granja de servidores de federación de AD FS, siga estos pasos:
    1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, elimine el archivo web.config.
    2. Mover la copia de seguridad del archivo web.config que creó en el "paso 1: editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS" sección a la carpeta C:\inetpub\adfs\ls\.
  3. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
  4. Compruebe que el comportamiento de autenticación de AD FS vuelve al problema original.

SOLUCIÓN

Para resolver el problema de Kerberos que limita la autenticación de AD FS, utilice uno o varios de los métodos siguientes, según la situación.
Resolución 1: Configuración de autenticación de AD FS de restablecimiento a los valores predeterminados
Resolución 2: Corregir la granja de servidores de federación de AD FS SPN
Solución 3: Se refiere resolver la protección ampliada para la autenticación
Resolución 4: Reemplazar registros CNAME con registros de AD FS
Resolución 5: Configurar Internet Explorer como cliente de AD FS para el inicio de sesión único (SSO)

MÁS INFORMACIÓN

Para ayudar a proteger una red, AD FS usa protección ampliada para la autenticación. Protección extendida para la autenticación puede ayudar a evitar los ataques de man in the middle en el que un atacante intercepta las credenciales de un cliente y los reenvía a un servidor. Protección contra este tipo de ataques es posible mediante el uso de obras de enlace de canal (CBT). CBT puede ser necesario, permitido o no requerido por el servidor cuando se establecen comunicaciones con los clientes.

La configuración de ExtendedProtectionTokenCheck AD FS especifica el nivel de protección extendida para la autenticación que es compatible con el servidor de federación. Estos son los valores disponibles para esta configuración:
  • Requerir: el servidor está totalmente consolidado. Se exige la protección extendida.
  • Permitir: ésta es la configuración predeterminada. El servidor está parcialmente reforzado. Se exige la protección extendida para sistemas implicados que se cambian para admitir esta característica.
  • Ninguno: el servidor es vulnerable. No se exige la protección extendida.
Las siguientes tablas describen cómo funciona la autenticación para los tres sistemas operativos y exploradores, dependiendo de las diferentes opciones de protección ampliada que están disponibles en AD FS con IIS.

Nota: Sistemas operativos de cliente de Windows debe tener actualizaciones específicas que se instalan para utilizar eficazmente las funciones de protección ampliada. De forma predeterminada, se habilitan las características de AD FS. Estas actualizaciones están disponibles en el siguiente artículo de Microsoft Knowledge Base:
968389 protección extendida para la autenticación
De forma predeterminada, Windows 7 incluye los binarios apropiados para utilizar la protección extendida.

Windows 7 (o versiones actualizadas correctamente de Windows Vista o Windows XP)
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
Comunicación de Windows
Cliente Foundation (WCF) (todos los extremos)
WorksWorksWorks
Internet Explorer 8 y versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorSe produce un errorWorks
Safari 4.0.4Se produce un errorSe produce un errorWorks
Windows Vista sin actualizaciones adecuadas
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
Cliente de WCF (todos los extremos)Se produce un errorWorksWorks
Internet Explorer 8 y versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorWorksWorks
Safari 4.0.4Se produce un errorWorksWorks
Windows XP sin actualizaciones adecuadas
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
Internet Explorer 8 y versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorWorksWorks
Safari 4.0.4Se produce un errorWorksWorks
Para obtener más información acerca de la protección ampliada para la autenticación, consulte los siguientes recursos de Microsoft:
968389 protección extendida para la autenticación
Para obtener más información acerca del cmdlet Set-ADFSProperties , visite el siguiente sitio Web de Microsoft:

¿Sigue necesitando ayuda? Ir a la Comunidad de Microsoft o el sitio Web de Foros de Azure Active Directory .

Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos
Propiedades

Id. de artículo: 2461628 - Última revisión: 8 ene. 2017 - Revisión: 1

Comentarios