AD FS, omite el parámetro "prompt = inicio de sesión" durante una autenticación en Windows Server R2 de 2012

Se aplica a: Windows Server 2012 R2 StandardWindows Server 2012 R2 DatacenterWindows Server 2012 R2 Essentials

Resumen


Después de instalar la actualización de julio de 2016 en KB 3172614 , la autenticación se produce un error si utiliza una autenticación (como tarjetas PIV) en un servidor de proveedor de identidad (IdP) y la solicitud contiene el parámetro de símbolo del sistema con Inicio de sesión como valor.

Causa


Este problema se produce porque el comportamiento predeterminado de federación preguntar convertir el parámetro prompt = inicio de sesión wauth = contraseña & wfresh = 0 durante la federación.

Acerca de la revisión


Servicios de federación de Active Directory (AD FS) ahora admite las siguientes opciones para controlar cómo se debe gestionar el parámetro prompt = inicio de sesión durante una federación. Estas opciones puede establecer globalmente para todos los servidores federados , utilizando el Conjunto ADFSProperties cmdlet. Puede verse mediante el get ADFSProperties cmdlet.

  • Ninguno. No federar la solicitud prompt = inicio de sesión y el error en su lugar.
  • FallbackToProtocolSpecificParameters (Valor predeterminado). Traducir prompt = inicio de sesión a wfresh = 0 y Wauth = forms durante una federación. Si "wauth" no existe en la solicitud original, que se mantendrá.


    El valor de "wauth" predeterminado puede reemplazarse mediante el parámetro PromptLoginFallbackAuthenticationType . Por ejemplo, el siguiente comando convierte prompt = inicio de sesión a wfresh = 0 y wauth = urn: ietf:rfc:2246 durante una federación.

    Set-AdfsProperties - PromptLoginFederation - PromptLoginFallbackAuthenticationType FallbackToProtocolSpecificParameters urn: ietf:rfc:2246

  • ForwardPromptAndHintsOverWsFederation. Reenviar el parámetro de símbolo del sistema como durante una federación.
  • Deshabilitado. Descartar el parámetro de la solicitud durante una federación.

Los siguientes son ejemplos del cmdlet set-ADFSProperties :

  • Set-AdfsProperties - PromptLoginFederation None
  • Set-AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Cómo obtener esta actualización


Para agregar la nueva opción, instale la actualización de octubre de 2017 4041685.
 

Requisitos previos

Para instalar esta actualización, debe tener Windows Server 2012 R2 instalado.
 
 

Información del registro

Para aplicar esta actualización, no es necesario realizar cambios en el registro.
 
 

Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta actualización.
 
 

Información para sustituir la actualización

Esta actualización no reemplaza a ninguna actualización publicada previamente.
 

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Referencias


Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.