Symptômes
La demande de fédération passive échoue lors de l’accès à une application, telle que SharePoint, qui utilise l’authentification AD FS et Forms après la connexion préalable à Microsoft Dynamics CRM avec l’authentification basée sur les revendications, échoue avec l’erreur suivante : Erreur rencontrée lors de la demande passive de
fédération.
Nom du protocole de données supplémentaire : partie de confiance : détails des exceptions :
Microsoft.IdentityServer.RequestFailedException : MSIS7065 : aucun poignée de protocole n’est enregistré sur le chemin d’accès /adfs/ls/ pour traiter la demande
entrante.
sur Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context) Scénario de déconférence : 20 minutes avant l’expiration du jeton ci-dessous avec les options Se connectez ou
Annulez. Le fait de cliquer sur Connexion ne redirige pas vers la page de connexion ADFS vous invite à choisir un nom d’utilisateur et un mot de passe. Au lieu de cela, il présente une page AD FS signée. Referece - Expiration des jetons de sécurité et d’authentification basée sur les revendications.
Cause
Le problème est dû à un cookie MSISAuth en double émis par Microsoft Dynamics CRM cookie de domaine avec un espace de noms AD FS. Ce nom de cookie n’est pas unique et lorsqu’une autre application, telle que SharePoint, est accessible, il se présente avec un cookie en double. L’authentification échoue.
Le scénario Signed Out est provoqué par un cookie sign out émis par Microsoft Dynamics CRM cookie de domaine, voir l’exemple ci-dessous. Ce cookie est un cookie de domaine et lorsqu’il est présenté à ADFS, il est considéré comme étant pour le domaine entier, tel que *.contoso.com/. Cela provoque l’échec du flux de ré-authentification et ADFS affiche la page de sortie.
Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; sécurisée ; HttpOnly
Résolution
Pour résoudre ce problème, vous devez configurer l’Microsoft Dynamics CRM avec une valeur de sous-domaine telle que crm.domain.com. Il est nécessaire d’obtenir un autre certificat de carte sauvage tel que *.crm.domain.com.
Après avoir effectué ces modifications, vous devrez configurer à nouveau l’authentification basée sur les revendications et la fonction SI.D à l’aide des points de terminaison corrects, comme illustré ci-dessous :
-
auth.<subdomain>.domain.com
-
dev.<subdomain>.domain.com
-
org.<subdomain>.domain.com
Informations supplémentaires
Pour plus d’informations sur la configuration de l’authentification basée sur les revendications et de la fonction SI.MICROSOFT DYNAMICS CRM, voir le lien suivant : Configuration de l’authentification basée sur les revendications
pour Microsoft Dynamics CRM Server