現象
以前にクレーム ベースの認証を使用して Microsoft Dynamics CRM に接続した後に AD FS とフォーム認証を使用するアプリケーション (SharePoint など) にアクセスすると、パッシブ フェデレーション要求は失敗します。フェデレーションパッシブ要求中にエラーが発生しました。 追加のデータ プロトコル名: 証明書利用者: 例外の詳細 : Microsoft.IdentityServer.RequestFailedException: MSIS7065: 着信要求を処理するパス /adfs/ls/ には登録プロトコル ハンドラーはありません。at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context) Sign out scenario: 20 minutes before Token expiration below dialog is shown with options to sign in or Cancel. [サインイン] をクリックしても、ADFS サインイン ページにリダイレクトされ、ユーザー名とパスワードを求めるメッセージが表示されるというメッセージは表示されます。 代わりに、[サインアウト済み ADFS] ページが表示されます。 レフェリー -クレーム ベースの認証とセキュリティ トークンの有効期限。
原因
この問題は、MICROSOFT DYNAMICS CRM FS 名前空間を持つドメイン cookie AD MSISAuth cookie が重複AD発生します。 この Cookie 名は一意ではなく、SharePoint などの別のアプリケーションにアクセスすると、Cookie が重複して表示されます。 これにより、認証が失敗します。サインアウトのシナリオは、ドメイン cookie として Microsoft Dynamics CRMによって発行されたサインアウト Cookie によって発生します。以下の例を参照してください。 この Cookie はドメイン Cookie であり、ADFS に表示される場合、*.contoso.com/ のように、ドメイン全体に対して見なされます。 これにより、再認証フローが失敗し、ADFS によって [サインアウト] ページが表示されます。Set-Cookie: MSISSignOut=;domain=contoso.com;path=/;セキュリティで保護するHttpOnly
解決方法
この問題を解決するには、サブドメイン値 (Microsoft Dynamics CRMなど) を使用してcrm.domain.com。 これには、*.crm.domain.com などの別のワイルドカード証明書が必要です。これらの変更を実行した後、次に示すように、正しいエンドポイントを使用してクレーム ベースの認証と IFD を再構成する必要があります。
-
auth.<サブドメイン>.domain.com
-
dev.<サブドメイン>.domain.com
-
org.<サブドメイン>.domain.com
詳細情報
Microsoft Dynamics CRM のクレーム ベース認証と IFD の構成の詳細については、次のリンクを参照してください:Microsoft Dynamics CRM Server のクレーム ベース認証 の構成
