Resumen

La autenticación se produce un error si utiliza una autenticación (como tarjetas PIV) en un servidor de proveedor de identidad (IdP) y la solicitud contiene el parámetro de símbolo del sistema con Inicio de sesión como valor.

Causa

Este problema se produce porque el comportamiento predeterminado de federación preguntar convertir el parámetro prompt = inicio de sesión wauth = contraseña & wfresh = 0 durante la federación.

Acerca de la revisión

Active servicios de federación de Directory (AD FS) ahora admite las siguientes opciones para controlar cómo se debe gestionar el parámetro prompt = inicio de sesión durante una federación. Estas opciones pueden configurarse globalmente para todos los servidores federados mediante el cmdlet set-ADFSProperties , pero sólo cuando la explotación se ejecuta en modo mixto. La configuración global se migra automáticamente a los proveedores de reclamaciones individuales cuando se eleva el nivel de comportamiento de granja (FBL) para Windows Server 2016. Se puede ver mediante el cmdlet get-ADFSProperties .

Nota: Estas opciones también pueden establecerse en los proveedores de reclamaciones individuales utilizando el cmdlet Add-AdfsClaimsProviderTrust cuando la explotación se ejecuta en un modo no mixto.

  • Ninguno. No federar la solicitud prompt = inicio de sesión y el error en su lugar.

  • FallbackToProtocolSpecificParameters (Valor predeterminado). Traducir prompt = inicio de sesión a wfresh = 0 y Wauth = forms durante una federación. Si "wauth" no existe en la solicitud original, que se mantendrá.

    El valor de "wauth" predeterminado puede reemplazarse mediante el parámetro PromptLoginFallbackAuthenticationType . Por ejemplo, el siguiente comando convierte prompt = inicio de sesión a wfresh = 0 y wauth = urn: ietf:rfc:2246 durante una federación.

    Set-AdfsProperties - PromptLoginFederation - PromptLoginFallbackAuthenticationType FallbackToProtocolSpecificParameters urn: ietf:rfc:2246

  • ForwardPromptAndHintsOverWsFederation. Reenviar el parámetro de símbolo del sistema como durante una federación.

  • Deshabilitado. Descartar el parámetro de la solicitud durante una federación.

Los siguientes son ejemplos del cmdlet set-ADFSProperties :

  • Set-AdfsProperties - PromptLoginFederation None

  • Set-AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Cómo obtener esta actualización

Para agregar la nueva opción, instale la actualización de febrero de 2018 KB 4077525.

Requisitos previos

Para instalar esta actualización, debe tener Windows Server 2016 instalado.  

Información del registro

Para aplicar esta actualización, no es necesario realizar cambios en el registro.  

Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta actualización.  

Información para sustituir la actualización

Esta actualización no reemplaza a ninguna actualización publicada previamente.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Referencias

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.