Applies ToWindows Server 2016, all editions Windows Server 2016 Standard Windows Server 2016

Riepilogo

Autenticazione non riesce se si utilizza un'autenticazione non-password (ad esempio schede PIV) su un server di Provider di identità (IdP) e la richiesta contiene il parametro di richiesta che dispone di accesso come valore.

Causa

Questo problema si verifica perché il comportamento di federazione prompt predefinito in cui convertire il parametro prompt = accesso wauth = password & wfresh = 0 durante la federazione.

Sulla correzione

Active Directory Federation Services (ADFS) supporta le seguenti opzioni per controllare come il parametro prompt = account di accesso deve essere gestito durante una federazione. Queste opzioni possono essere impostate globalmente per tutte le federazioni di server utilizzando il cmdlet set-ADFSProperties , ma solo quando la farm è in esecuzione in modalità mista. L'impostazione globale diviene automaticamente il provider di attestazioni singole quando viene generato il livello di comportamento di farm (FBL) per Windows Server 2016. Essi possono essere visualizzati utilizzando il cmdlet get-ADFSProperties .

Nota: Queste opzioni possono essere impostate anche sui provider di attestazioni singole utilizzando il cmdlet Add-AdfsClaimsProviderTrust durante l'esecuzione della farm in una modalità non mista.

  • Nessuno. Non creare una federazione la richiesta di prompt = account di accesso e l'errore invece.

  • FallbackToProtocolSpecificParameters (Impostazione predefinita). Tradurre prompt = account di accesso a wfresh = 0 e Wauth = form durante una federazione. Se "wauth" presente nella richiesta originale, verrà mantenuta.

    Il valore di default "wauth" può essere sottoposto a override utilizzando il parametro PromptLoginFallbackAuthenticationType . Ad esempio, il comando seguente converte prompt = account di accesso a wfresh = 0 e wauth = urn: ietf:rfc:2246 durante una federazione.

    Urn: ietf:rfc:2246 FallbackToProtocolSpecificParameters - PromptLoginFallbackAuthenticationType set-AdfsProperties - PromptLoginFederation

  • ForwardPromptAndHintsOverWsFederation. Inoltrare il parametro prompt dei comandi , come avviene durante una federazione.

  • Disabilitato. Eliminare il parametro richiesto dalla richiesta durante una federazione.

Di seguito è riportati esempi del cmdlet set-ADFSProperties :

  • Set-AdfsProperties - PromptLoginFederation None

  • Set-AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Come ottenere questo aggiornamento

Per aggiungere la nuova opzione, installare l'aggiornamento di febbraio 2018 KB 4077525.

Prerequisiti

Per installare questo aggiornamento, è necessario disporre di 2016 Server Windows installato.  

Informazioni del Registro di sistema

Per applicare questo aggiornamento non è necessario apportare modifiche al Registro di sistema.  

Richiesta di riavvio

È necessario riavviare il computer dopo avere applicato questo aggiornamento.  

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.

Stato

Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".

Riferimenti

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365