Error "Se produjo un problema al acceder al sitio" desde AD FS cuando un usuario federado inicia sesión en Microsoft 365, Azure o Intune

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problema

Cuando un usuario federado intenta iniciar sesión en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune, el usuario recibe el siguiente mensaje de error de Servicios de federación de Active Directory (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Cuando se produce este error, la barra de direcciones del explorador web apunta al punto de conexión de AD FS local en una dirección similar a la siguiente:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Causa

Este problema puede producirse por una de las siguientes razones:

  • No se completó la configuración del inicio de sesión único (SSO) a través de AD FS.
  • El certificado de firma de tokens de AD FS ha expirado.
  • Las notificaciones de la directiva de acceso de cliente de AD FS están configuradas incorrectamente.
  • Falta la confianza del usuario de confianza con Microsoft Entra ID o está configurada incorrectamente.
  • El servidor proxy de federación de AD FS está configurado incorrectamente o expuesto incorrectamente.
  • La cuenta de IUSR de AD FS no tiene el permiso de usuario "Suplantar un cliente después de la autenticación".

Solución

Para resolver este problema, use el método adecuado para su situación.

Escenario 1: El certificado de firma de tokens de AD FS expiró

Compruebe si el certificado de firma de token ha expirado.

Para comprobar si el certificado de firma de tokens ha expirado, siga estos pasos:

  1. Haga clic en Inicio, todos los programas, herramientas administrativasy, a continuación, haga clic en ADMINISTRACIÓN de AD FS (2.0).
  2. En la consola de administración de AD FS, haga clic en Servicio, en Certificados y, a continuación, examine las fechas de vigencia y expiración del certificado de firma de tokens de AD FS.

Si el certificado ha expirado, debe renovarse para restaurar la funcionalidad de autenticación de SSO.

Renovar el certificado de firma de tokens (si ha expirado)

Para renovar el certificado de firma de tokens en el servidor de AD FS principal mediante un certificado autofirmado, siga estos pasos:

  1. En la misma consola de administración de AD FS, haga clic en Servicio, en Certificadosy, a continuación, en **Certificaciones **en el panel Acciones , haga clic en Agregar Token-Signing certificado.
  2. Si aparece una advertencia "Certificados no se pueden modificar mientras la característica de sustitución automática de certificados de AD FS está habilitada", vaya al paso 3. De lo contrario, compruebe las fechas de vigencia y expiración del certificado. Si el certificado se renueva correctamente, no es necesario realizar los pasos 3 y 4.
  3. Si el certificado no se renueva, haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic en la carpeta Windows PowerShell, haga clic con el botón derecho en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador.
  4. En el símbolo del sistema Windows PowerShell, escriba los comandos siguientes. Presione Entrar después de escribir cada comando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Para renovar el certificado de firma de tokens en el servidor de AD FS principal mediante un certificado firmado por una entidad de certificación (CA), siga estos pasos:

  1. Cree el archivo WebServerTemplate.inf. Para ello, siga estos pasos:

    1. Inicie el Bloc de notas y abra un nuevo documento en blanco.

    2. Pegue lo siguiente en el archivo:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. En el archivo, cambie subject="CN=adfs.contoso.com" por lo siguiente:

      subject="CN=your-federation-service-name"

    4. En el menú Archivo, haga clic en Guardar como.

    5. En el cuadro de diálogo** Guardar como, haga clic en Todos los archivos (.) ** en el cuadro Guardar como tipo .

    6. Escriba WebServerTemplate.inf en el cuadro Nombre de archivo y, a continuación, haga clic en Guardar.

  2. Copie el archivo WebServerTemplate.inf en uno de los servidores de federación de AD FS.

  3. En el servidor de AD FS, abra una ventana del símbolo del sistema administrativo.

  4. Use el comando cd(change directory) para cambiar al directorio donde copió el archivo .inf.

  5. Escriba el siguiente comando y, a continuación, presione Entrar:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Envíe el archivo de salida, AdfsSSL.req, a la entidad de certificación para la firma.

  7. La ENTIDAD de certificación devolverá una parte de clave pública firmada en formato .p7b o .cer. Copie este archivo en el servidor de AD FS donde generó la solicitud.

  8. En el servidor de AD FS, abra una ventana del símbolo del sistema administrativo.

  9. Use el comando cd(change directory) para cambiar al directorio donde copió el archivo .p7b o .cer.

  10. Escriba el siguiente comando y, a continuación, presione Entrar:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Finalizar la restauración de la funcionalidad de SSO

Independientemente de si se usa un certificado autofirmado o firmado por una entidad de certificación, debe terminar de restaurar la funcionalidad de autenticación de SSO. Para ello, siga estos pasos:

  1. Agregue acceso de lectura a la clave privada para la cuenta de servicio de AD FS en el servidor de AD FS principal. Para ello, siga estos pasos:
    1. Haga clic en Inicio, en Ejecutar, escriba mmc.exe y, a continuación, presione Entrar.
    2. En el menú Archivo, haga clic en Añadir o quitar complemento.
    3. Haga doble clic en Certificados, seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.
    4. Seleccione Equipo local, haga clic en Finalizary, a continuación, haga clic en Aceptar.
    5. Expanda Certificados (equipo local), expanda Personal y, por último, haga clic en Certificados.
    6. Haga clic con el botón derecho en el nuevo certificado de firma de tokens, seleccione Todas las tareas y, a continuación, haga clic en Administrar claves privadas.
    7. Agregue Acceso de lectura a la cuenta de servicio de AD FS y, a continuación, haga clic en Aceptar.
    8. Salga del complemento Certificados.
  2. Actualice la huella digital del nuevo certificado y la fecha de confianza del usuario de confianza con Microsoft Entra ID. Para ello, consulte la sección "Actualización de la configuración del dominio federado de Microsoft 365" en Actualización o reparación de la configuración de un dominio federado en Microsoft 365, Azure o Intune.
  3. Vuelva a crear la configuración de confianza del proxy de AD FS. Para ello, siga estos pasos:
    1. Reinicie el servicio de Windows de AD FS en el servidor de AD FS principal.
    2. Espere 10 minutos para que el certificado se replique en todos los miembros de la granja de servidores de federación y, a continuación, reinicie el servicio windows de AD FS en el resto de los servidores de AD FS.
    3. Vuelva a ejecutar el Asistente para configuración de proxy en cada servidor proxy de AD FS. Para obtener más información, vea Configurar un equipo para el rol de proxy de servidor de federación.

Escenario 2: Ha actualizado recientemente la directiva de acceso de cliente a través de notificaciones y ahora el inicio de sesión no funciona.

Compruebe si la directiva de acceso de cliente se aplicó correctamente. Para obtener más información, consulte Limitación del acceso a los servicios de Microsoft 365 en función de la ubicación del cliente.

Escenario 3: El punto de conexión de metadatos de federación o la confianza del usuario de confianza pueden deshabilitarse

Habilite el punto de conexión de metadatos de federación y la confianza del usuario de confianza con Microsoft Entra ID en el servidor de AD FS principal. Para ello, siga estos pasos:

  1. Abra la consola de administración de AD FS 2.0.
  2. Asegúrese de que el punto de conexión de metadatos de federación está habilitado. Para ello, siga estos pasos:
    1. En el panel de navegación izquierdo, vaya a AD FS (2.0), Servicio, Puntos de conexión.
    2. En el panel central, haga clic con el botón derecho en la entrada /Federation Metadata/2007-06/FederationMetadata.xml y, a continuación, haga clic para seleccionar Habilitar y Habilitar en proxy.
  3. Asegúrese de que la confianza del usuario de confianza con Microsoft Entra ID está habilitada. Para ello, siga estos pasos:
    1. En el panel de navegación izquierdo, vaya a AD FS (2.0) y, a continuación, a Relaciones de confianza y, a continuación, Confianzas de usuario de confianza.
    2. Si Microsoft Office 365 Identity Platform está presente, haga clic con el botón derecho en esta entrada y, a continuación, haga clic en Habilitar.
  4. Repare la confianza del usuario de confianza con Microsoft Entra ID viendo la sección "Actualizar propiedades de confianza" de Comprobar y administrar el inicio de sesión único con AD FS.

Escenario 4: La confianza del usuario de confianza puede faltar o estar dañada

Quite y vuelva a agregar la confianza del usuario de confianza. Para ello, siga estos pasos:

  1. Inicie sesión en el servidor de AD FS principal.
  2. Haga clic en Inicio, seleccione Todos los programas, herramientas administrativasy, a continuación, haga clic en Administración de AD FS (2.0).
  3. En la consola de administración, expanda AD FS (2.0), expanda Relaciones de confianza y, a continuación, expanda Confianzas de usuario de confianza.
  4. Si Microsoft Office 365 Identity Platform está presente, haga clic con el botón derecho en esta entrada y, a continuación, haga clic en Eliminar.
  5. Vuelva a agregar la confianza del usuario de confianza viendo la sección "Actualizar propiedades de confianza" de Comprobar y administrar el inicio de sesión único con AD FS.

Escenario 5: La cuenta de servicio de AD FS no tiene el permiso de usuario "Suplantar un cliente después de la autenticación"

Para conceder el permiso de usuario "Suplantar un cliente después de la autenticación" a la cuenta de servicio IUSR de AD FS, consulte Id. de evento 128: configuración de la aplicación basada en tokens de Windows NT.

Referencias

Para obtener más información sobre cómo solucionar problemas de inicio de sesión para usuarios federados, consulte los siguientes artículos de Microsoft Knowledge Base:

  • 2530569 Solución de problemas de configuración de inicio de sesión único en Microsoft 365, Intune o Azure
  • 2712961 Solución de problemas de conexión de punto de conexión de AD FS cuando los usuarios inician sesión en Microsoft 365, Intune o Azure

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.