Síntomas
Se produce un error de solicitud de federación pasiva al obtener acceso a una aplicación, como SharePoint, que usa AD FS y Autenticación de formulario después de conectarse previamente a Microsoft Dynamics CRM con autenticación basada en notificaciones y se produce un error siguiente: se ha detectado un error durante la solicitud pasiva de
federación.
Nombre del protocolo de datos adicional: Grupo de confianza: Detalles de
excepción:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: No hay controladores de protocolos registrados en rutas /adfs/ls/ para procesar la solicitud entrante.
en Microsoft.IdentityServer.Web.PassiveProtocol Hr.OnGetContext(WrappedHttpContextContext context) Escenario de cerrar
sesión: 20 minutos antes de que se muestra el siguiente cuadro de diálogo de expiración del Token con opciones para iniciar o
cancelar. Al hacer clic en Iniciar sesión no se redirige a la página de inicio de sesión de ADFS en la que se solicita el nombre de usuario y la contraseña. En su lugar, presenta una página ADFS de sesión no firmada. Referencia: expiración del token de seguridad y la autenticación basada en notificaciones.
Causa
El problema se debe a una cookie de MSISAuth duplicada emitida por Microsoft Dynamics CRM como una cookie de dominio con un espacio de nombres ad FS. Este nombre de cookie no es único y cuando se tiene acceso a otra aplicación, como SharePoint, se presenta con cookie duplicada. Esto hace que se produce un error en la autenticación.
El escenario "Cerrar sesión" se debe a la cookie de cerrar sesión emitida por Microsoft Dynamics CRM como cookie de dominio, como se muestra a continuación. Esta cookie es una cookie de dominio y, cuando se presenta a ADFS, se considera para todo el dominio, como *.contoso.com/. Esto provoca que el flujo de la nueva autenticación falle y ADFS presenta la página Cerrar sesión.
Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; seguro; HttpOnly
Resolución
Para resolver este problema, tendrá que configurar el Microsoft Dynamics CRM con un valor de subdominio, como crm.domain.com. Esto requerirá un certificado de comodín diferente, como *.crm.domain.com.
Después de realizar estos cambios, tendrá que volver a configurar la autenticación basada en notificaciones y SID con los puntos de conexión correctos como se muestra a continuación:
-
auth.<subdominio>.domain.com
-
subdominio <dev.>.domain.com
-
org.<subdominio>.domain.com
Más información
Para obtener más información sobre cómo configurar la autenticación basada en notificaciones y el SID para Microsoft Dynamics CRM, vea el vínculo siguiente: Configurar la autenticación basada en notificaciones
para Microsoft Dynamics CRM Server