Sintomi
La richiesta di federazione passiva non riesce quando si accede a un'applicazione, ad esempio SharePoint, che usa AD FS e l'autenticazione forms dopo la connessione precedente a Microsoft Dynamics CRM con autenticazione basata su attestazioni. Si è verificato un errore durante la richiesta passiva della
federazione.
Nome protocollo dati
aggiuntivo:
Relying Party: Dettagli
eccezione:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: non ci sono gestori protocollo registrati sul percorso /adfs/ls/ per elaborare la richiesta in arrivo.
in Microsoft.IdentityServer.Web.PassiveProtocolDir.OnGetContext(WrappedHttpHttpContext context)
Scenario Di disconnessione: 20 minuti prima della scadenza del token sotto la finestra di dialogo viene visualizzata con le opzioni Accedi o
Annulla. Se si fa clic su Accedi, la pagina di accesso ad ADFS non richiede nome utente e password. Viene invece visualizzata una pagina ADFS disconnessa. Riferimento: autenticazione basata sulle attestazioni e scadenza del token di sicurezza.
Causa
Il problema è causato da un cookie MSISAuth duplicato generato Microsoft Dynamics CRM come cookie di dominio con uno spazio dei nomi AD FS. Il nome del cookie non è univoco e, quando si accede a un'altra applicazione, ad esempio SharePoint, viene visualizzato un cookie duplicato. In questo modo l'autenticazione non riesce.
Lo scenario Disconnesso è causato dal cookie di disconnessione rilasciato Microsoft Dynamics CRM come cookie di dominio, vedere l'esempio seguente. Questo cookie è cookie di dominio e, se presentato in ADFS, viene considerato per l'intero dominio, ad esempio *.contoso.com/. In questo modo il flusso di autenticazione non riesce e ADFS visualizza la pagina Disconnenne.
Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; sicuro; HttpOnly
Risoluzione
Per risolvere il problema, è necessario configurare i Microsoft Dynamics CRM con un valore di sottodominio, ad esempio crm.domain.com. Sarà necessario un certificato con caratteri jolly diverso, ad esempio *.crm.domain.com.
Dopo aver eseguito queste modifiche, sarà necessario configurare di nuovo l'autenticazione basata sulle attestazioni e IFD usando gli endpoint corretti, come illustrato di seguito:
-
auth.<sottodominio>.domain.com
-
dev.<sottodominio>.domain.com
-
org.<sottodominio>.domain.com
Ulteriori informazioni
Per altri dettagli sulla configurazione dell'autenticazione basata sulle attestazioni e di IFD per Microsoft Dynamics CRM, vedere il collegamento seguente: Configurazione dell'autenticazione basata sulle attestazioni
per Microsoft Dynamics CRM Server