ADFS ignora il parametro "prompt = accesso" durante un'autenticazione in Windows Server 2016

Riepilogo

Autenticazione non riesce se si utilizza un'autenticazione non-password (ad esempio schede PIV) su un server di Provider di identità (IdP) e la richiesta contiene il parametro di richiesta che dispone di accesso come valore.

Causa

Questo problema si verifica perché il comportamento di federazione prompt predefinito in cui convertire il parametro prompt = accesso wauth = password & wfresh = 0 durante la federazione.

Sulla correzione

Active Directory Federation Services (ADFS) supporta le seguenti opzioni per controllare come il parametro prompt = account di accesso deve essere gestito durante una federazione. Queste opzioni possono essere impostate globalmente per tutte le federazioni di server utilizzando il cmdlet set-ADFSProperties , ma solo quando la farm è in esecuzione in modalità mista. L'impostazione globale diviene automaticamente il provider di attestazioni singole quando viene generato il livello di comportamento di farm (FBL) per Windows Server 2016. Essi possono essere visualizzati utilizzando il cmdlet get-ADFSProperties .

Nota: Queste opzioni possono essere impostate anche sui provider di attestazioni singole utilizzando il cmdlet Add-AdfsClaimsProviderTrust durante l'esecuzione della farm in una modalità non mista.

  • Nessuno. Non creare una federazione la richiesta di prompt = account di accesso e l'errore invece.

  • FallbackToProtocolSpecificParameters (Impostazione predefinita). Tradurre prompt = account di accesso a wfresh = 0 e Wauth = form durante una federazione. Se "wauth" presente nella richiesta originale, verrà mantenuta.


    Il valore di default "wauth" può essere sottoposto a override utilizzando il parametro PromptLoginFallbackAuthenticationType . Ad esempio, il comando seguente converte prompt = account di accesso a wfresh = 0 e wauth = urn: ietf:rfc:2246 durante una federazione.

    Urn: ietf:rfc:2246 FallbackToProtocolSpecificParameters - PromptLoginFallbackAuthenticationType set-AdfsProperties - PromptLoginFederation

  • ForwardPromptAndHintsOverWsFederation. Inoltrare il parametro prompt dei comandi , come avviene durante una federazione.

  • Disabilitato. Eliminare il parametro richiesto dalla richiesta durante una federazione.

Di seguito è riportati esempi del cmdlet set-ADFSProperties :

  • Set-AdfsProperties - PromptLoginFederation None

  • Set-AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Come ottenere questo aggiornamento

Per aggiungere la nuova opzione, installare l'aggiornamento di febbraio 2018 KB 4077525.

Prerequisiti

Per installare questo aggiornamento, è necessario disporre di 2016 Server Windows installato.
 

Informazioni del Registro di sistema

Per applicare questo aggiornamento non è necessario apportare modifiche al Registro di sistema.
 

Richiesta di riavvio

È necessario riavviare il computer dopo avere applicato questo aggiornamento.
 

Informazioni sulla sostituzione dell'aggiornamento

Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.

Stato

Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".

Riferimenti

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×