Solucionar problemas de AD FS en Active Directory de Azure y Office 365

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3079872
Este artículo describe la solución de problemas de autenticación de usuarios federados en Active Directory de Azure o Office 365 el flujo de trabajo.
Síntomas
  • Los usuarios federados no pueden iniciar sesión en Office 365 o Microsoft Azure aunque sólo nube administrado a usuarios que tienen un sufijo UPN de domainxx.onmicrosoft.com pueden iniciar sesión sin problemas.
  • Redirección de los servicios de federación de Active Directory (AD FS) o STS no es un usuario federado. O bien, se desencadena un error "No se puede mostrar la página".
  • Recibirá una advertencia relacionados con los certificados en un explorador al intentar autenticar con AD FS. Esto indica que la validación de certificados produce un error o que el certificado no es de confianza.
  • "Método de autenticación desconocido" error o errores que indica que no se admite AuthnContext. Además, los errores en el nivel de AD FS o STS cuando se redirigen de Office 365.
  • AD FS, produce un error "Acceso denegado".
  • AD FS produce un error que indica que hay un problema de acceso al sitio; Esto incluye un número de identificación de referencia.
  • El usuario se pide repetidamente las credenciales en el nivel de AD FS.
  • No se pueden autenticar a los usuarios federados desde una red externa o al usar una aplicación que toma la ruta de la red externa (por ejemplo, Outlook).
  • Los usuarios federados no pueden iniciar sesión después de cambia un certificado de firma de tokens de AD FS.
  • Un error de "lo sentimos, pero hemos tenido problemas al iniciar sesión de" se activa cuando un usuario federado inicia una sesión en Office 365 en Microsoft Azure. Este error incluye los códigos de error como C 8004786, 80041034, 80041317, 80043431, 80048163, 06 de 80045C, 8004789A o mala petición.

Solución de problemas de flujo de trabajo
  1. Acceso https://Login.microsoftonline.comy, a continuación, escriba (de nombre de inicio de sesión del usuario federadoalguien@ejemplo.com). Después de presionar Tab para quitar el foco del cuadro de inicio de sesión, compruebe si el estado de la página cambia a "Redirigir" y a continuación, será redirigido a la federación de servicio de Active Directory (AD FS) para el inicio de sesión.

    Cuando se produce la redirección, vea la siguiente página:

    La captura de pantalla de paso 1
    1. Si la redirección no se produce y se le pide que escriba una contraseña en la misma página, esto significa que Azure Active Directory (AD) o Office 365 no reconoce el usuario o el dominio del usuario a ser federado. Para comprobar si hay una confianza de federación entre AD Azure o ejecutar Office 365 y el servidor de AD FS, el Get-msoldomain cmdlet de AD PowerShell de Azure. Si un dominio está agrupado, su propiedad de autenticación se mostrará como "Federados", como se muestra en la siguiente pantalla:

      El paso de dominio federado
    2. Si se produce la redirección, pero no se redirigen a su servidor de AD FS para el inicio de sesión, compruebe si resuelve el nombre de servicio de AD FS para la correcta IP y si se puede conectar a esa dirección IP en el puerto TCP 443.

      Si el dominio se muestra como "Federados", ejecutando los siguientes comandos para obtener información acerca de la confianza de federación:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      Compruebe que el identificador URI, URL y certificado del socio de federación que configura Office 365 o anuncio de Azure.
  2. Después se le redirige a AD FS, el explorador puede produce un error relacionado con la confianza de certificado y para algunos clientes y dispositivos no permite que se establezca una sesión SSL con AD FS. Para resolver este problema, siga estos pasos:
    1. Asegúrese de que el certificado de comunicación de servicio de AD FS que se presenta al cliente es la misma que la que está configurada en AD FS.

      La pantalla acerca de paso

      Idealmente, el certificado de comunicación de servicio de AD FS debe ser el mismo que el certificado SSL que se presenta al cliente cuando intenta establecer un túnel SSL con el servicio de AD FS.

      En AD FS 2.0:

      • Enlazar el certificado con IIS-> primer sitio predeterminado.
      • Utilice el complemento AD FS para agregar el mismo certificado como el certificado de la comunicación del servicio.

      En AD FS 2012 R2:

      • Utilice el complemento AD FS o la Adfscertificate agregar comando para agregar un certificado de comunicación del servicio.
      • Utilice el Conjunto de adfssslcertificate comando para establecer el mismo certificado de enlace SSL.

    2. Asegúrese de que dicho certificado de comunicación de servicio de AD FS es de confianza para el cliente.
    3. Si no SNI: clientes compatibles con intenta establecer una sesión SSL con AD FS o WAP 2 12 R2, puede fallar el intento. En este caso, considere la posibilidad de agregar una entrada de reserva en los servidores para admitir a clientes no SNI de AD FS o WAP. Para obtener más información, consulte el siguiente blog:
  3. Puede encontrar un error "Método de autenticación desconocido" o errores indicando que AuthnContext no es compatible en el nivel de AD FS o STS, cuando se redirigen de Office 365. Esto es más común cuando Office 365 y AD Azure redirige a AD FS o STS utilizando un parámetro que se aplica a un método de autenticación. Para aplicar un método de autenticación, utilice uno de los métodos siguientes:
    • De WS-Federation, utilice una cadena de consulta WAUTH para aplicar un método de autenticación preferido.
    • Para SAML2.0, utilice lo siguiente:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    Cuando el método de autenticación forzada se envía con un valor incorrecto, o si no se admite este método de autenticación de AD FS o STS, recibirá un mensaje de error antes de que se autentica.

    La siguiente tabla muestra el tipo de autenticación los identificadores URI que se reconocen por AD FS para WS-Federation autenticación de pasiva.
    Método de autenticación deseadaURI de wauth
    Autenticación de nombre y contraseña de usuariourn: oasis: nombres: tc: SAML:1.0:am:password
    Autenticación de cliente SSLurn: ietf:rfc:2246
    Autenticación integrada de Windowsurn: federación: autenticación: windows

    Admite SAML clases de contexto de autenticación

    Método de autenticación Clase de contexto de autenticación URI
    Nombre de usuario y contraseñaurn: oasis: nombres: tc: SAML:2.0:ac:classes:Password
    Transporte protegido con contraseñaurn: oasis: nombres: tc: SAML:2.0:ac:classes:PasswordProtectedTransport
    Cliente de Transport Layer Security (TLS)urn: oasis: nombres: tc: SAML:2.0:ac:classes:TLSClient
    Certificado X.509urn: oasis: nombres: tc: SAML:2.0:ac:classes:X 509
    Autenticación de Windows integradaurn: federación: autenticación: windows
    Kerberosurn: oasis: nombres: tc: SAML:2.0:ac:classes:Kerberos

    Para asegurarse de que se admite el método de autenticación a nivel de AD FS, compruebe lo siguiente.

    AD FS 2.0

    Bajo /ADFS/ls/Web.config, asegúrese de que la entrada para el tipo de autenticación está presente.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    Agregar nombre = "Forms" page="FormsSignIn.aspx" / &gt;
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: Cómo cambiar el tipo de autenticación local

    AD FS 2012 R2

    Bajo Administración de AD FS, haga clic en Directivas de autenticación en el complemento AD FS.

    En el Autenticación principal Haga clic en Editar junto a Configuración global. También puede haga clic en Directivas de autenticación y, a continuación, seleccione Editar autenticación principal Global. O bien, en el Acciones panel, seleccione Editar autenticación principal Global.

    En el Editar directiva Global de autenticación ventana, en la Principal ficha, puede configurar opciones como parte de la directiva de autenticación global. Por ejemplo, para la autenticación principal, puede seleccionar los métodos de autenticación disponibles en Extranet y Intranet.

    ** Asegúrese de que está activada la casilla de verificación del método de autenticación necesario.
  4. Si obtener su AD FS y especifique las credenciales pero no ha sido autenticado, compruebe lo siguiente.
    1. Problema de replicación de Active Directory

      Si se interrumpe la replicación de Active Directory, es posible que los cambios realizados en el usuario o grupo no puede sincronizar entre controladores de dominio. Entre los controladores de dominio, puede haber una contraseña, UPN, GroupMembership, o ProxyAddress Error de coincidencia que afecta a la respuesta de AD FS (autenticación y reclamaciones). Debe empezar a buscar en los controladores de dominio en el mismo sitio que AD FS. Ejecuta un repadmin /showreps o una DCdiag /v comando debe revelar si hay un problema en los controladores de dominio que es más probable que ponerse en contacto con AD FS.

      También puede recopilar un resumen de replicación de AD para asegurarse de que los cambios de AD se replican correctamente en todos los controladores de dominio. La repadmin /showrepl * /csv &gt; showrepl.csv salida es útil para comprobar el estado de la replicación. Para obtener más información, vea Solucionar problemas de replicación de Active Directory.
    2. Cuenta bloqueada o deshabilitada en Active Directory

      Cuando el usuario se autentica mediante AD FS, él o ella no recibirá un mensaje de error que indica que la cuenta está bloqueada o deshabilitada. AD FS y de auditoría de inicio de sesión, debe ser capaz de determinar si falló la autenticación debido a una contraseña incorrecta, si la cuenta está deshabilitada o bloqueada y así sucesivamente.

      Para habilitar la auditoría en AD FS, los servidores de inicio de sesión y de AD FS, siga estos pasos:
      1. Utilice la directiva local o de dominio para habilitar el éxito y el fracaso de las siguientes directivas:
        • Auditar sucesos de inicio de sesión, situado en del equipo\Configuración de Windows\Configuración de setting\Local Policy\Audit directiva"
        • Auditar el acceso a objetos, ubicado en del equipo\Configuración de Windows\Configuración de setting\Local Policy\Audit directiva"
        La pantalla acerca de las directivas
      2. Deshabilitar la directiva siguiente:

        Auditoría: Configuración de subcategoría de directiva fuerza auditoría (Windows Vista o posterior) para invalidar la configuración de las categorías

        Esta directiva se encuentra en del equipo\Configuración de Windows\Configuración de setting\Local opción habilitada.

        La pantalla acerca de la directiva

        Si desea configurar esto con auditoría avanzada, haga clic en aquí.
      3. Configurar AD FS para la auditoría:
        1. Abrir el AD FS 2.0 complemento Administración.
        2. En el panel acciones , haga clic en Editar propiedades de servicio de federación.
        3. En la Propiedades de servicio de federación cuadro de diálogo, haga clic en el eventos ficha.
        4. Seleccione el auditorías de aciertos y auditorías de error casillas de verificación.

          El sceenshot acerca de cómo habilitar la auditoría de AD FS
        5. Ejecutar GPupdate /force en el servidor.
    3. Nombre Principal de servicio (SPN) está registrado incorrectamente

      Puede haber SPN duplicados o un SPN registrado en una cuenta que no sea la cuenta de servicio de AD FS. Para una configuración de conjunto de servidores de AD FS, asegúrese de que SPN HOST/AD FSservicename se agrega en la cuenta de servicio que ejecuta el servicio de AD FS. Para una instalación independiente de AD FS, donde se ejecuta el servicio Servicio de red, el SPN debe estar bajo la cuenta de equipo del servidor que hospeda AD FS.

      La captura de pantalla de nombre de servicio de AD FS

      Asegúrese de que no hay SPN duplicados para el servicio de AD FS, ya que puede causar errores de autenticación intermitentes con AD FS. Para obtener una lista de los SPN, ejecutar SETSPN-L<ServiceAccount></ServiceAccount>.

      La pantalla acerca de la lista de SPN

      Ejecutar SETSPN – un HOST/AD FSservicename ServiceAccount Para agregar el SPN.

      Ejecutar SETSPN – X -F Para comprobar los SPN duplicados.
    4. Nombres principales de usuario duplicados en Active Directory

      Un usuario puede autenticar a través de AD FS cuando esté usando SAMAccountName pero no se puede autenticar al utilizar los UPN. En este escenario, Active Directory puede contener dos usuarios que tengan la misma UPN. Es posible que acabe con dos usuarios que tengan la misma UPN cuando los usuarios se agregan y modificados mediante secuencias de comandos (ADSIedit, por ejemplo).

      Cuando UPN se utiliza para la autenticación en este escenario, el usuario se autentica con el usuario duplicado. Por lo tanto, no se validan las credenciales que se proporcionan.

      Puede utilizar las consultas como el siguiente para comprobar si hay varios objetos en Active Directory que tienen los mismos valores para un atributo:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      Asegúrese de que se cambia el nombre el UPN del usuario duplicados, por lo que la solicitud de autenticación con el UPN se valida con respecto a los objetos correctos.
    5. En un escenario, donde está utilizando su dirección de correo electrónico como ID de inicio de sesión en Office 365 y escriba la misma dirección de correo electrónico cuando se redirigen a AD FS para la autenticación, la autenticación puede fallar con un error de "NO_SUCH_USER" en los registros de auditoría. Para habilitar AD FS buscar un usuario para la autenticación mediante el uso de un atributo que no sea de UPN o SAMaccountname, debe configurar AD FS para admitir un ID de inicio de sesión alternativo. Para obtener más información, vea Configuración de ID de inicio de sesión alternativo.

      En AD FS 2012 R2

      1. Instalar Actualización de 2919355.
      2. Actualizar la configuración de AD FS ejecutando el siguiente cmdlet de PowerShell en cualquiera de los servidores de federación en su conjunto (si tiene un conjunto de WID, debe ejecutar este comando en el servidor principal de AD FS en la granja):

        Set-AdfsClaimsProviderTrust - identificadorDeDestino "Autoridad AD" - AlternateLoginID <attribute>- LookupForests <forest domain=""></forest> </attribute>

        Nota:AlternateLoginID es el nombre LDAP del atributo que desea utilizar para el inicio de sesión. Y LookupForests es la lista de entradas DNS que los usuarios que pertenecen a los bosques.

        Para habilitar la característica de identificador de inicio de sesión alternativo, debe configurar el AlternateLoginID y LookupForests parámetros con un valor válido distinto de null.

    6. La cuenta de servicio de AD FS no tiene acceso de lectura en el token de AD FS que es la clave privada del certificado de firma. Para agregar este permiso, siga estos pasos:
      1. Cuando se agrega un nuevo certificado de firma de tokens, recibirá la siguiente advertencia: "Asegúrese de que la clave privada para el certificado elegido es accesible para la cuenta de servicio para este servicio de federación en cada servidor del conjunto de servidores".
      2. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exe, y, a continuación, presione ENTRAR.
      3. Haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
      4. Haga doble clic en certificados.
      5. Seleccione la cuenta de equipo en cuestión y, a continuación, haga clic en siguiente.
      6. Seleccione equipo Localy haga clic en Finalizar.
      7. Expanda certificados (equipo Local), <b00> </b00>Personal y, a continuación, seleccione certificados.
      8. Haga clic en el nuevo certificado de firma de tokens, seleccione Todas las tareasy, a continuación, seleccione Administrar claves privadas.

        El sceenshot acerca de paso 8
      9. Agregar acceso de lectura para la cuenta de AD FS 2.0 service y, a continuación, haga clic en Aceptar.
      10. Cierre el MMC de certificados.
    7. La Protección ampliada para la autenticación de Windows está habilitada para el directorio virtual de AD FS o LS. Esto puede causar problemas con determinados exploradores. A veces puede ver varias veces pedir credenciales de AD FS y esto podría estar relacionado con el Protección extendida configuración que está habilitado para la autenticación de Windows para la aplicación de AD FS o LS en IIS.

      El sceenshot acerca de paso 8
      Cuando Protección extendida se ha habilitado la autenticación, las solicitudes de autenticación están enlazadas a ambos los nombres principales de servicio (SPN) del servidor para que el cliente intenta conectar y el canal exterior de Transport Layer Security (TLS) en el que se produce la autenticación de Windows integrada. Protección extendida mejora la funcionalidad de autenticación de Windows existente para mitigar los relés de autenticación o los ataques "man in the middle". Sin embargo, algunos exploradores no funcionan con la Protección extendida configuración; en su lugar, piden repetidamente las credenciales y, a continuación, denegar el acceso. Deshabilitar Protección extendida Ayuda es este escenario.

      Para obtener más información, vea AD FS 2.0: Le piden continuamente las credenciales al utilizar el depurador de web de Fiddler.

      Para AD FS 2012 R2

      Ejecute el siguiente cmdlet para deshabilitar Extendedprotection:

      Conjunto de ADFSProperties – ExtendedProtectionTokenCheck ninguno

    8. Las reglas de autorización de emisión en la confianza del partido confiar (RP) pueden denegar el acceso a los usuarios. Puede configurar las reglas de autorización de emisión que controla si un usuario autenticado debe emitirse un token para un usuario de confianza en la confianza de usuario de confianza de AD FS. Los administradores pueden utilizar las notificaciones que se emiten para decidir si desea denegar el acceso a un usuario que es miembro de un grupo que se ha levantado como un reclamo.

      Si ciertos usuarios federados no pueden autenticarse mediante AD FS, es aconsejable comprobar las reglas de autorización de emisión para el punto de reunión de Office 365 y vea si el Permitir el acceso a todos los usuarios se configura la regla.

      La pantalla acerca de las reglas
      Si no se configura esta regla, examine las reglas de autorización personalizada para comprobar si la condición de regla, se evalúa como "true" para el usuario afectado. Para obtener más información, consulte los siguientes recursos:
      Si al acceso directamente al servidor de AD FS, pero no puede autenticarse cuando tiene acceso a AD FS a través de un proxy de AD FS puede autenticar desde una intranet, compruebe lo siguiente:
      • Problema de sincronización de tiempo de servidor de AD FS y proxy de AD FS

        Asegúrese de que la hora en el servidor de AD FS y la hora en el servidor proxy están sincronizados. Cuando el tiempo en el servidor de AD FS está desactivada en más de cinco minutos desde el momento en los controladores de dominio, se producen errores de autenticación. Cuando la hora de proxy de AD FS no se sincroniza con AD FS, la confianza de proxy es afectada y rota. Por lo tanto, se produce un error en una solicitud que llega a través del proxy de AD FS.
      • Compruebe si el servidor proxy de AD FS confianza con el servicio de AD FS funciona correctamente. Vuelva a ejecutar la configuración del proxy si sospecha que se rompa la confianza de proxy.
  5. Después de su AD FS emite un anuncio de Azure, símbolo (token) o Office 365 se produce un error. En esta situación, compruebe lo siguiente:
    • Las notificaciones que se emiten por AD FS en un token deben coincidir con los respectivos atributos del usuario en Active Directory de Azure. En el símbolo (token) de Azure AD o Office 365, las siguientes afirmaciones son necesarios.

      WSFED:
      UPN: El valor de esta notificación debe coincidir con el UPN de los usuarios en Active Directory de Azure.
      ImmutableID: El valor de esta notificación debe coincidir con el sourceAnchor o ImmutableID del usuario en Active Directory de Azure.

      Para obtener el valor del atributo de usuario en Active Directory de Azure, ejecute la siguiente línea de comandos: Get-MsolUser – UserPrincipalName<UPN></UPN>

      SAML 2.0:
      IDPEmail: El valor de esta notificación debe coincidir con el nombre principal de usuario de los usuarios en Active Directory de Azure.
      NAMEID: El valor de esta notificación debe coincidir con el sourceAnchor o ImmutableID del usuario en Active Directory de Azure.

      Para obtener más información, vea Utilizar un proveedor de identidad de SAML 2.0 para implementar el inicio de sesión único.

      Ejemplos:
      Este problema puede producirse cuando se cambia el UPN de un usuario sincronizado en Active Directory, pero sin actualizar el directorio en línea. En este escenario, puede corregir UPN del usuario en Active Directory (para que coincida con el relacionados con nombre de usuario de inicio de sesión) o ejecutar el siguiente cmdlet para cambiar el nombre de inicio de sesión del usuario en el directorio en línea relacionados con:

      Conjunto de MsolUserPrincipalName - UserPrincipalName [ExistingUPN] - NewUserPrincipalName [AD-DomainUPN]

      También podría ser que utiliza AADsync para sincronizar UPN de correo y EMPID como SourceAnchor, pero el usuario de confianza de reclamar las reglas en el nivel de AD FS no han sido actualizadas para enviar UPN de correo y EMPID como ImmutableID.
    • Hay una discrepancia de certificado de firma de tokens entre AD FS y Office 365.

      Se trata de uno de los problemas más comunes. AD FS usa el certificado de firma de tokens para firmar el token que se envía al usuario o aplicación. La confianza entre el AD FS y Office 365 es una confianza federada en la que se basa este certificado de firma de tokens (por ejemplo, Office 365 comprueba que el símbolo (token) recibido está firmado con un certificado de firma de tokens del proveedor de notificaciones [el servicio AD FS] que confía).

      Si el certificado de firma de tokens en la de AD FS se cambia debido a la conversión de certificado automática o por la intervención del administrador (después o antes de la expiración del certificado), los detalles del nuevo certificado debe actualizarse en el inquilino Office 365 para el dominio federado.

      Office 365 o Azure AD intentará llegar al servicio AD FS, proporciona su accesible desde la red pública. Intentamos sondear los metadatos de federación de ADFS a intervalos regulares, para extraer los cambios de configuración de ADFS, principalmente el certificado de firma de tokens. Si este proceso no funciona, el administrador Global debe ver una notificación en el portal de Office 365, advertencia sobre la caducidad del certificado de firma de tokens y con las acciones que deben adoptarse, para actualizarlo.

      Puede utilizar Get-MsolFederationProperty - DomainName<domain></domain> Para volcar la propiedad de federación de AD FS y Office 365. Aquí se puede comparar la huella digital de TokenSigningCertificate, para comprobar si la configuración de inquilinos de Office 365 para el dominio federado está en sincronización con AD FS. Si encuentra un error de coincidencia en la configuración del certificado de firma de tokens, ejecute el comando siguiente para actualizar:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      También puede ejecutar la siguiente herramienta para programar una tarea en el servidor de AD FS que se supervisa para la conversión automática certificado de la firma de tokens certificado y actualización de inquilinos automáticamente el Office 365.

      Herramienta de instalación de automatización de Microsoft Office 365 federación actualización de metadatos

      Comprobar y administrar un inicio de sesión único con AD FS
    • Reglas de notificación de transformación de emisión para el punto de reunión de Office 365 no están configuradas correctamente.

      En un escenario en el que tiene varios dominios de nivel superior (dominios de nivel superior), puede que tenga problemas de inicio de sesión si la Supportmultipledomain conmutador no se utilizó cuando se creó y se actualiza la confianza RP. Para obtener más información, haga clic en aquí.
    • Asegúrese de que el token de cifrado es no siendo utilizado por AD FS o STS cuando se emite un token de AD de Azure y Office 365.
  6. Hay credenciales almacenadas en caché obsoletas en el Administrador de credenciales de Windows.

    En ocasiones, durante el inicio de sesión en una estación de trabajo en el portal (o cuando se utiliza Outlook), cuando se solicita al usuario las credenciales, pueden guardar las credenciales para el destino (servicio Office 365 o AD FS) en el Administrador de credenciales de Windows (Administrador de Control de Panel\User Accounts\Credential). Esto ayuda a evitar una petición de credenciales durante algún tiempo, pero puede causar un problema después de que ha cambiado la contraseña del usuario y el Administrador de credenciales no se actualiza. En ese caso, obsoletas credenciales se envían al servicio de AD FS y, por tanto, se produce un error en la autenticación. Puede ayudar quitar o actualizar las credenciales almacenadas en caché, en el Administrador de credenciales de Windows.
  7. Asegúrese de que el algoritmo de Hash seguro que se configura en la confianza del partido confiar para Office 365 se establece en SHA1.

    Cuando el protocolo SAML 2.0 utiliza la confianza entre el STS/AD FS y Azure AD/Office 365, el algoritmo de Hash seguro configurado para la firma digital debe ser SHA1.
  8. Si ninguna de las causas anteriores se aplican a su situación, crear un caso de soporte técnico con Microsoft y pídale que compruebe si la cuenta de usuario aparece constantemente en el inquilino de Office 365. Para obtener más información, consulte los siguientes recursos:

    Mensaje de error de AD FS 2.0 cuando un usuario federado inicia sesión en Office 365: "Se ha producido un problema al acceder el sitio"

    Un usuario federado se pide repetidamente las credenciales cuando él o ella se conecta con el extremo de AD FS 2.0 servicio durante el inicio de sesión en Office 365
  9. Dependiendo de qué servicio de nube (integrado con AD Azure) tiene acceso, la solicitud de autenticación se envía a AD FS puede variar. Por ejemplo: ciertas solicitudes podrán incluir parámetros adicionales tales como Wauth o Wfresh, y estos parámetros pueden causar un comportamiento diferente en el nivel de AD FS.

    Se recomienda que los binarios de AD FS siempre actualizada para incluir las correcciones para problemas conocidos. Para obtener más información acerca de las actualizaciones más recientes, consulte la tabla siguiente.

Propiedades

Id. de artículo: 3079872 - Última revisión: 08/10/2015 07:35:00 - Revisión: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtes
Comentarios