Un utilisateur fédéré est constamment invité pour les informations d'identification lors de la connexion à Office 365, Azure ou Intune

Le support de Windows XP a pris fin

Microsoft a mis fin au support de Windows XP le 8 avril 2014. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 2461628
Important Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Si vous implémentez cette solution de contournement, prenez toutes les mesures appropriées pour protéger l'ordinateur.
PROBLÈME
Un utilisateur fédéré est constamment invité pour les informations d'identification lorsque l'utilisateur tente de s'authentifier sur le point de terminaison du service Active Directory Federation Services (ADFS) lors de l'authentification à un service de cloud Microsoft Office 365, Microsoft Azure ou Microsoft Intune. Lorsque l'utilisateur annule, l'utilisateur reçoit le message d'erreur suivant :
Accès refusé
CAUSE
Le symptôme indique un problème avec l'authentification Windows intégrée avec AD FS. Ce problème peut se produire si une ou plusieurs des conditions suivantes sont remplies :
  • Un mot de passe ou un nom d'utilisateur incorrect a été utilisé.
  • Paramètres d'authentification de Internet Information Services (IIS) sont configurés de manière incorrecte dans AD FS.
  • Le nom principal de service (SPN) associé le compte de service utilisé pour exécuter la batterie de serveurs de fédération AD FS est perdu ou endommagé.

    Remarque Cela se produit uniquement lorsque AD FS est implémenté comme une batterie de serveurs de fédération et non implémenté dans une configuration autonome.
  • Un ou plusieurs des opérations suivantes sont identifiés par la Protection étendue pour l'authentification en tant que source d'une attaque man-in-the-middle :
    • Certains navigateurs tiers
    • Le pare-feu de réseau de l'entreprise, équilibrage de la charge réseau ou un autre périphérique réseau publie le Service de fédération AD FS à Internet de manière à ce que les données de charge utile IP peuvent potentiellement être réécrite. Cela peut inclure les types de données suivants :
      • Secure Sockets Layer (SSL) de pont
      • Le déchargement SSL
      • Le filtrage de paquets

        Pour plus d'informations, consultez l'article suivant de la Base de connaissances Microsoft :
        2510193Scénarios pris en charge pour l'utilisation d'ADFS pour la configuration de l'authentification unique dans Office 365, Azure ou Intune
    • Une application de décryptage SSL ou de surveillance est installée ou est active sur l'ordinateur client
  • Résolution de nom (DNS) de domaine du point de terminaison du service AD FS a été effectuée via la recherche d'enregistrement CNAME et non via une recherche d'enregistrement.
  • Windows Internet Explorer n'est pas configuré pour passer de l'authentification intégrée de Windows pour le serveur AD FS.

Avant de commencer la résolution des problèmes

Vérifiez que le nom d'utilisateur et le mot de passe ne sont pas la cause du problème.
  • Assurez-vous que le nom d'utilisateur correct est utilisé et qu'il est dans le format nom utilisateur principal (UPN). Johnsmith@contoso.com, par exemple.
  • Assurez-vous que le mot de passe correct est utilisé. Pour vérifier que le mot de passe est utilisé, il se peut que vous deviez réinitialiser le mot de passe. Pour plus d'informations, consultez l'article Microsoft TechNet suivant :
  • Assurez-vous que le compte n'est pas verrouillé, expiré ou utilisé en dehors des heures d'ouverture de session désigné. Pour plus d'informations, consultez l'article Microsoft TechNet suivant :

Vérifier la cause

Pour vérifier que des problèmes Kerberos sont à l'origine du problème, pour contourner l'authentification Kerberos, l'activation de l'authentification basée sur les formulaires sur la batterie de serveurs de fédération AD FS. Pour ce faire, procédez comme suit :

Étape 1: Modifier le fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS
  1. Dans l'Explorateur Windows, recherchez le dossier C:\inetpub\adfs\ls\, puis faites une copie de sauvegarde du fichier web.config.
  2. Cliquez sur Démarreret cliquez sur Tous les programmes, sur Accessoires, cliquez sur bloc-notes, puis cliquez sur Exécuter en tant qu'administrateur.
  3. Sur le fichier le menu, cliquez sur Ouvrir. Dans le nom de fichier , tapezC:\inetpub\adfs\ls\web.config, puis cliquez sur Ouvrir.
  4. Dans le fichier web.config, procédez comme suit :
    1. Recherchez la ligne qui contient <authentication mode=""> </authentication>, puis modifiez son <authentication mode="Forms"> </authentication>.
    2. Repérez la section qui commence par <localAuthenticationTypes> </localAuthenticationTypes>, puis modifiez la section afin que les <add name="Forms"></add> entrée est répertoriée en premier, comme suit :
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sur le fichier le menu, cliquez sur Enregistrer.
  6. À une invite de commandes avec élévation de privilèges, redémarrer IIS à l'aide de la commande iisreset .
Étape 2: Fonctionnalités de Test AD FS
  1. Sur un ordinateur client qui est connecté et authentifié pour les locaux environnement AD DS, se connecter sur le portail du service nuage.

    Au lieu d'une expérience d'authentification transparente, une basée sur les formulaires sign-in doit être connue. Si la connexion est réussie à l'aide de l'authentification basée sur les formulaires, cela confirme l'existence d'un problème lié à Kerberos dans le Service de fédération AD FS.
  2. Rétablir la configuration de chaque serveur dans la batterie de serveurs de fédération AD FS pour les paramètres d'authentification précédent avant de suivre les étapes décrites dans la section « Résolution ». Pour revenir à la configuration de chaque serveur dans la batterie de serveurs de fédération AD FS, procédez comme suit :
    1. Dans l'Explorateur Windows, recherchez le dossier C:\inetpub\adfs\ls\, puis supprimez le fichier web.config.
    2. Déplacer la sauvegarde du fichier web.config que vous avez créé dans la « étape 1: modification du fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS » section dans le dossier C:\inetpub\adfs\ls\.
  3. À une invite de commandes avec élévation de privilèges, redémarrer IIS à l'aide de la commande iisreset .
  4. Vérifiez que le problème d'origine rétablit le comportement de l'authentification AD FS.
Solution
Pour résoudre le problème de Kerberos qui limite l'authentification AD FS, utilisez une ou plusieurs des méthodes suivantes, en fonction de la situation.

Résolution 1: Paramètres de l'authentification de réinitialisation AD FS les valeurs par défaut

Si les paramètres d'authentification AD FS IIS sont incorrects ou ne correspondent pas aux paramètres d'authentification IIS pour les Services de fédération AD FS et des Services Proxy, une solution consiste à réinitialiser tous les paramètres d'authentification IIS par défaut AD FS.

Les paramètres d'authentification par défaut sont répertoriés dans le tableau suivant.
Application virtuelleNiveau (x) d'authentification
Par défaut, Site Web/adfsAuthentification anonyme
Par défaut Site Web/adfs/lsAuthentification anonyme
Authentification Windows
Sur chaque serveur de fédération AD FS et chaque serveur proxy de fédération AD FS, utilisez les informations dans l'article Microsoft TechNet ci-dessous pour réinitialiser les applications virtuelles AD FS IIS pour les paramètres d'authentification par défaut :Pour plus d'informations sur la façon de résoudre cette erreur, consultez les articles suivants de la Base de connaissances Microsoft :
907273 Dépannage des erreurs HTTP 401 dans IIS

871179 de la Vous recevez une « erreur HTTP 401.1 - non autorisé : accès refusé en raison d'informations d'identification non valides » message d'erreur lorsque vous essayez d'accéder à un site Web qui fait partie d'un pool d'applications IIS 6.0

Résolution 2: Corriger la batterie de serveurs de fédération AD FS SPN

Remarque : Essayez cette solution uniquement lorsque AD FS est implémenté comme une batterie de serveurs de fédération. N'essayez pas de cette solution dans une configuration autonome AD FS.

Pour résoudre le problème si le nom principal de service pour le service AD FS est perdu ou endommagé sur le compte de service AD FS, suivez ces étapes sur un serveur dans la batterie de serveurs de fédération AD FS :
  1. Ouvrez le composant logiciel enfichable Services. Pour ce faire, cliquez sur Démarrer, sur Tous les programmes, sur Outils d'administration, puis cliquez sur Services.
  2. Double-cliquez sur Service de Windows (2.0) AD FS.
  3. Sur le de session onglet, notez le compte de service qui est affiché dans Ce compte.
  4. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, cliquez sur invite de commandeset puis cliquez sur Exécuter en tant qu'administrateur.
  5. Tapez Hôte de SetSPN – f – q /<AD fs="" service="" name=""></AD>, puis appuyez sur ENTRÉE.

    Remarque : Dans cette commande, <AD fs="" service="" name=""></AD> représente le nom de service de nom (FQDN) de domaine pleinement qualifié du point de terminaison du service AD FS. Il ne représente pas le nom d'hôte Windows du serveur ADFS.
    • Si plus d'une entrée est renvoyée pour la commande, et le résultat est associé à un compte d'utilisateur différent de celui qui a été noté à l'étape 3, supprimer cette association. Pour ce faire, exécutez la commande suivante :
      Hôte de SetSPN – d /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Si plus d'une entrée est renvoyée pour la commande et le SPN utilise le même nom que le nom d'ordinateur du serveur AD FS dans Windows, le nom de point de terminaison de fédération pour AD FS est incorrect. AD FS doit être implémenté de nouveau. Le nom de domaine complet de la batterie de serveurs de fédération AD FS ne doit pas être identique au nom d'hôte d'un serveur Windows.
    • Si le nom principal de service n'existe pas déjà, exécutez la commande suivante :
      SetSPN – a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Remarque : Dans cette commande, <username of="" service="" account=""></username> représente le nom de l'utilisateur qui a été noté à l'étape 3.
  6. Une fois ces étapes sont exécutées sur tous les serveurs de la batterie de serveurs de fédération AD FS, droit AD FS (2.0) Windows Service dans le composant logiciel enfichable Gestion des Services, puis cliquez sur redémarrer.

Résolution 3: Concerne les résoudre la Protection étendue pour l'authentification

Recommandé de méthodes pour résoudre le problème si la Protection étendue pour l'authentification empêche la réussite de l'authentification, utilisez une des opérations suivantes :
  • Méthode 1: utiliser Windows Internet Explorer 8 (ou une version ultérieure du programme) pour vous connecter.
  • Méthode 2: publier des services AD FS sur Internet de manière à ce que le pontage SSL, le déchargement SSL ou le filtrage de paquets avec état ne pas réécrire des données de charge utile IP. La recommandation des meilleures pratiques pour cela est d'utiliser un serveur de Proxy AD FS.
  • Méthode 3: fermer ou de surveillance de désactiver ou de décryptage SSL des applications.
Si vous ne pouvez pas utiliser une de ces méthodes, pour contourner ce problème, la Protection étendue pour l'authentification peut être désactivée pour les clients passifs et actifs.

Solution : Désactivez la Protection étendue pour l'authentification

Avertissement Il est déconseillé d'utiliser cette procédure comme une solution à long terme. La désactivation de la Protection étendue pour l'authentification d'assouplit le profil de sécurité de service ADFS par certaines attaques man-in-the-middle sur les points de terminaison de l'authentification intégrée de Windows ne détecte ne pas.

Remarque Lors de cette solution de contournement est appliquée pour les fonctionnalités de l'application tierce, vous devez également désinstaller les correctifs sur le système d'exploitation client pour la Protection étendue pour l'authentification. Pour plus d'informations sur les correctifs, consultez l'article suivant de la Base de connaissances Microsoft :
968389 Protection étendue pour l'authentification
Pour les clients passifs
Pour désactiver la Protection étendue pour l'authentification des clients passifs, effectuez la procédure suivante pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :
  • Par défaut, Site Web/adfs
  • Par défaut Site Web/adfs/ls
Pour ce faire, procédez comme suit :
  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d'informations sur l'ouverture du Gestionnaire des services IIS, reportez-vous à la section. Ouvrez le Gestionnaire des services Internet (IIS 7).
  2. Dans Affichage des fonctionnalités, double-cliquez sur l'authentification.
  3. Dans la page authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s'affiche, sélectionnez désactiverà partir de lala Protection étendue menu déroulant.
Pour les clients actifs
Pour désactiver la Protection étendue pour l'authentification des clients actifs, effectuez la procédure suivante sur le serveur ADFS principal :
  1. Ouvrez Windows PowerShell.
  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Exécutez la commande suivante pour désactiver la Protection étendue pour l'authentification :
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Ré-activer la Protection étendue pour l'authentification

Pour les clients passifs
Pour réactiver la Protection étendue pour l'authentification des clients passifs, effectuez la procédure suivante pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :
  • Par défaut, Site Web/adfs
  • Par défaut Site Web/adfs/ls
Pour ce faire, procédez comme suit :
  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d'informations sur l'ouverture du Gestionnaire des services IIS, reportez-vous à la section. Ouvrez le Gestionnaire des services Internet (IIS 7).
  2. Dans Affichage des fonctionnalités, double-cliquez sur l'authentification.
  3. Dans la page authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s'affiche, cliquez sur Accepterdans le menu déroulant de La Protection étendue .
Pour les clients actifs
Pour réactiver la Protection étendue pour l'authentification des clients actifs, effectuez la procédure suivante sur le serveur ADFS principal :
  1. Ouvrez Windows PowerShell.
  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Exécutez la commande suivante pour activer la Protection étendue pour l'authentification :
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Résolution 4: Remplacer les enregistrements CNAME avec un enregistrements pour AD FS

Utilisez les outils de gestion de DNS pour remplacer chaque enregistrement DNS Alias (CNAME) qui est utilisé pour le service de fédération avec un serveur DNS l'adresse (A). En outre, de vérifier ou de prendre en compte les paramètres DNS d'entreprise lors de la configuration d'un DNS Déconnexion évitée est implémentée. Pour plus d'informations sur la façon de gérer les enregistrements DNS, consultez le site Web Microsoft TechNet suivant :

Résolution 5: Définir Internet Explorer comme client ADFS pour l'authentification unique (SSO)

Pour plus d'informations sur la façon de configurer Internet Explorer pour l'accès AD FS, consultez l'article suivant de la Base de connaissances Microsoft :
2535227Un utilisateur fédéré est invité de manière inattendue à entrer leur travail ou à l'école des informations d'identification de compte
Plus d'informations
Pour protéger un réseau, ADFS utilise la Protection étendue pour l'authentification. Protection étendue pour l'authentification peut aider à empêcher les attaques de man-in-the-middle dans lequel un attaquant intercepte les informations d'identification d'un client et les transfère à un serveur. Protection contre de telles attaques est possible à l'aide de Works de liaison de canal (CBT). CBT peut être requises, autorisé ou non par le serveur lorsque les communications sont établies avec les clients.

Le paramètre ExtendedProtectionTokenCheck AD FS Spécifie le niveau de protection étendue pour l'authentification est pris en charge par le serveur de fédération. Ce sont les valeurs disponibles pour ce paramètre :
  • Demander: le serveur est totalement renforcé. La protection étendue est appliquée.
  • Autoriser: il s'agit du paramètre par défaut. Le serveur est en partie renforcé. La protection étendue est appliquée pour les systèmes concernés sont modifiés pour prendre en charge cette fonctionnalité.
  • Aucun: le serveur est vulnérable. Protection étendue n'est pas appliquée.
Les tableaux suivants décrivent le fonctionnement de l'authentification pour les trois systèmes d'exploitation et des navigateurs, selon les différentes options de Protection étendue disponibles sur AD FS avec IIS.

Remarque Les systèmes d'exploitation clients Windows doit avoir des mises à jour spécifiques qui sont installés pour utiliser efficacement les fonctionnalités de la Protection étendue. Par défaut, les fonctionnalités sont activées dans AD FS. Ces mises à jour sont disponibles dans l'article suivant de la Base de connaissances Microsoft :
968389 Protection étendue pour l'authentification
Par défaut, Windows 7 inclut les fichiers binaires appropriés pour utiliser la Protection étendue.

Windows 7 (ou versions correctement mise à jour de Windows Vista ou de Windows XP)
ParamètreBesoinAutoriser (par défaut)Aucun
Communication de Windows
Client de Foundation (WCF) (tous les points de terminaison)
WorksWorksWorks
8and de Internet Explorer versions ultérieuresWorksWorksWorks
Firefox 3.6Échec deÉchec deWorks
Safari 4.0.4Échec deÉchec deWorks
Windows Vista sans mises à jour appropriées
ParamètreBesoinAutoriser (par défaut)Aucun
Client WCF (tous les points de terminaison)Échec deWorksWorks
8and de Internet Explorer versions ultérieuresWorksWorksWorks
Firefox 3.6Échec deWorks Works
Safari 4.0.4Échec deWorks Works
Windows XP sans les mises à jour appropriées
ParamètreBesoinAutoriser (par défaut)Aucun
8and de Internet Explorer versions ultérieuresWorksWorksWorks
Firefox 3.6Échec deWorks Works
Safari 4.0.4Échec deWorks Works
Pour plus d'informations sur la Protection étendue pour l'authentification, consultez les ressources Microsoft suivantes :
968389 Protection étendue pour l'authentification
Pour plus d'informations sur l'applet de commande Set-ADFSProperties , reportez-vous au site Web de Microsoft suivant :

Besoin d'aide ? Accédez à la Communauté Office 365 site Web ou le Forums d'Azure Active Directory .

Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 2461628 - Dernière mise à jour : 01/14/2016 02:16:00 - Révision : 22.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Édition familiale, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtfr
Commentaires