Un utilisateur fédéré est invité à entrer des informations d’identification à plusieurs reprises lors de la connexion à Microsoft 365, Azure ou Intune

Importante

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez les mesures supplémentaires appropriées pour protéger l’ordinateur.

Problème

Un utilisateur fédéré est invité à fournir des informations d’identification à plusieurs reprises lorsqu’il tente de s’authentifier auprès du point de terminaison de service Services ADFS (AD FS) lors de la connexion à un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune. Lorsque l’utilisateur annule, l’utilisateur reçoit le message d’erreur Accès refusé .

Cause

Le symptôme indique un problème avec l’authentification intégrée Windows avec AD FS. Ce problème peut se produire si une ou plusieurs des conditions suivantes sont remplies :

  • Un nom d’utilisateur ou un mot de passe incorrect a été utilisé.

  • Les paramètres d’authentification IIS (Internet Information Services) sont configurés de manière incorrecte dans AD FS.

  • Le nom de principal de service (SPN) associé au compte de service utilisé pour exécuter la batterie de serveurs de fédération AD FS est perdu ou endommagé.

    Remarque

    Cela se produit uniquement quand AD FS est implémenté en tant que batterie de serveurs de fédération et non implémenté dans une configuration autonome.

  • Une ou plusieurs des opérations suivantes sont identifiées par la protection étendue pour l’authentification comme source d’une attaque de l’intercepteur :

    • Certains navigateurs Internet tiers
    • Le pare-feu du réseau d’entreprise, l’équilibreur de charge réseau ou tout autre appareil réseau publie le service de fédération AD FS sur Internet de telle sorte que les données de charge utile IP puissent être réécrites. Cela peut inclure les types de données suivants :
      • Pontage SSL (Secure Sockets Layer)

      • Déchargement SSL

      • Filtrage de paquets avec état

        Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

        2510193 scénarios pris en charge pour l’utilisation d’AD FS pour configurer l’authentification unique dans Microsoft 365, Azure ou Intune

    • Une application de surveillance ou de déchiffrement SSL est installée ou active sur l’ordinateur client
  • La résolution DNS (Domain Name System) du point de terminaison de service AD FS a été effectuée via une recherche d’enregistrement CNAME au lieu d’une recherche d’enregistrement A.

  • Windows Internet Explorer n’est pas configuré pour passer l’authentification intégrée Windows au serveur AD FS.

Avant de commencer la résolution des problèmes

Vérifiez que le nom d’utilisateur et le mot de passe ne sont pas la cause du problème.

  • Assurez-vous que le nom d’utilisateur correct est utilisé et qu’il est au format nom d’utilisateur principal (UPN). Par exemple : johnsmith@contoso.com.

  • Assurez-vous que le mot de passe correct est utilisé. Pour case activée que le mot de passe correct est utilisé, vous devrez peut-être réinitialiser le mot de passe utilisateur. Pour plus d’informations, consultez l’article Microsoft TechNet suivant :

    Réinitialiser un mot de passe utilisateur

  • Assurez-vous que le compte n’est pas verrouillé, expiré ou utilisé en dehors des heures d’ouverture de session désignées. Pour plus d’informations, consultez l’article Microsoft TechNet suivant : Gestion des utilisateurs

Vérifier la cause

Pour case activée que les problèmes Kerberos sont à l’origine du problème, contournez temporairement l’authentification Kerberos en activant l’authentification basée sur les formulaires sur la batterie de serveurs de fédération AD FS. Pour cela, procédez comme suit :

Étape 1 : Modifier le fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS

  1. Dans Windows Explorer, recherchez le dossier C :\inetpub\adfs\ls\, puis effectuez une copie de sauvegarde du fichier web.config.

  2. Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, cliquez avec le bouton droit sur Bloc-notes, puis cliquez sur Exécuter en tant qu’administrateur.

  3. Dans le menu Fichier , cliquez sur Ouvrir. Dans la zone Nom de fichier , tapez C:\inetpub\adfs\ls\web.config, puis cliquez sur Ouvrir.

  4. Dans le fichier web.config, procédez comme suit :

    1. Recherchez la ligne qui contient <le mode> d’authentification, puis remplacez-la < par authentication mode="Forms"/>.

    2. Recherchez la section qui commence par <localAuthenticationTypes>, puis modifiez la section afin que l’entrée <add name="Forms »> soit listée en premier, comme suit :

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. Dans le menu Fichier, cliquez sur Enregistrer.

  6. À une invite de commandes avec élévation de privilèges, redémarrez IIS à l’aide de la commande iisreset.

Étape 2 : Tester la fonctionnalité AD FS

  1. Sur un ordinateur client connecté et authentifié auprès de l’environnement AD DS local, connectez-vous au portail de service cloud.

    Au lieu d’une expérience d’authentification transparente, une connexion basée sur les formulaires doit être expérimentée. Si la connexion réussit à l’aide de l’authentification basée sur les formulaires, cela confirme qu’un problème avec Kerberos existe dans le service de fédération AD FS.

  2. Rétablissez la configuration de chaque serveur de la batterie de serveurs de fédération AD FS aux paramètres d’authentification précédents avant de suivre les étapes de la section « Résolution ». Pour rétablir la configuration de chaque serveur dans la batterie de serveurs de fédération AD FS, procédez comme suit :

    1. Dans Windows Explorer, recherchez le dossier C :\inetpub\adfs\ls\, puis supprimez le fichier web.config.
    2. Déplacez la sauvegarde du fichier web.config que vous avez créé dans la section « Étape 1 : Modifier le fichier web.config sur chaque serveur de la batterie de serveurs de fédération AD FS » vers le dossier C :\inetpub\adfs\ls\.
  3. À une invite de commandes avec élévation de privilèges, redémarrez IIS à l’aide de la commande iisreset.

  4. Vérifiez que le comportement d’authentification AD FS revient au problème d’origine.

Solution

Pour résoudre le problème Kerberos qui limite l’authentification AD FS, utilisez une ou plusieurs des méthodes suivantes, en fonction de la situation.

Résolution 1 : Rétablir les valeurs par défaut des paramètres d’authentification AD FS

Si les paramètres d’authentification IIS AD FS sont incorrects ou si les paramètres d’authentification IIS pour les services de fédération AD FS et les services proxy ne correspondent pas, une solution consiste à réinitialiser tous les paramètres d’authentification IIS aux paramètres AD FS par défaut.

Les paramètres d’authentification par défaut sont répertoriés dans le tableau suivant.

Application virtuelle Niveau(s) d’authentification
Site web/adfs par défaut Authentification anonyme
Site web par défaut/adfs/ls Authentification anonyme, Authentification Windows

Sur chaque serveur de fédération AD FS et sur chaque proxy de serveur de fédération AD FS, utilisez les informations de l’article Microsoft TechNet suivant pour réinitialiser les applications virtuelles IIS AD FS aux paramètres d’authentification par défaut :

Configuration de l’authentification dans IIS 7

Résolution 2 : Corriger le SPN de la batterie de serveurs de fédération AD FS

Remarque

Essayez cette résolution uniquement quand AD FS est implémenté en tant que batterie de serveurs de fédération. N’essayez pas cette résolution dans une configuration autonome AD FS.

Pour résoudre le problème si le SPN du service AD FS est perdu ou endommagé sur le compte de service AD FS, procédez comme suit sur un serveur de la batterie de serveurs de fédération AD FS :

  1. Ouvrez le composant logiciel enfichable Gestion des services. Pour ce faire, cliquez sur Démarrer, sur Tous les programmes, sur Outils d’administration, puis sur Services.

  2. Double-cliquez sur Service Windows AD FS (2.0).

  3. Sous l’onglet Ouvrir une session , notez le compte de service affiché dans Ce compte.

  4. Cliquez sur Démarrer, sur Tous les programmes, puis sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur.

  5. Taper la commande suivante, puis appuyer sur Entrée :

    SetSPN –f –q host/<AD FS service name>
    

    Remarque

    Dans cette commande, le <nom> du service AD FS représente le nom de service de nom de domaine complet (FQDN) du point de terminaison de service AD FS. Il ne représente pas le nom d’hôte Windows du serveur AD FS.

    • Si plusieurs entrées sont retournées pour la commande et que le résultat est associé à un compte d’utilisateur autre que celui qui a été noté à l’étape 3, supprimez cette association. Pour ce faire, exécutez la commande suivante :

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Si plusieurs entrées sont retournées pour la commande et que le SPN utilise le même nom que le nom d’ordinateur du serveur AD FS dans Windows, le nom du point de terminaison de fédération pour AD FS est incorrect. AD FS doit être ré-implémenté. Le nom de domaine complet de la batterie de serveurs de fédération AD FS ne doit pas être identique au nom d’hôte Windows d’un serveur existant.

    • Si le SPN n’existe pas déjà, exécutez la commande suivante :

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Remarque

      Dans cette commande, le <nom d’utilisateur du compte> de service représente le nom d’utilisateur qui a été noté à l’étape 3.

  6. Une fois ces étapes effectuées sur tous les serveurs de la batterie de serveurs de fédération AD FS, cliquez avec le bouton droit sur Service Windows AD FS (2.0) dans le composant logiciel enfichable Gestion des services, puis cliquez sur Redémarrer.

Résolution 3 : Résoudre les problèmes liés à la protection étendue pour l’authentification

Pour résoudre le problème si la protection étendue pour l’authentification empêche l’authentification réussie, utilisez l’une des méthodes recommandées suivantes :

  • Méthode 1 : Utilisez Windows Internet Explorer 8 (ou une version ultérieure du programme) pour vous connecter.
  • Méthode 2 : Publier des services AD FS sur Internet de telle sorte que le pontage SSL, le déchargement SSL ou le filtrage de paquets avec état ne réécrit pas les données de charge utile IP. La meilleure pratique à cet effet est d’utiliser un serveur proxy AD FS.
  • Méthode 3 : Fermer ou désactiver les applications de surveillance ou de déchiffrement SSL.

Si vous ne pouvez pas utiliser l’une de ces méthodes, pour contourner ce problème, la protection étendue pour l’authentification peut être désactivée pour les clients passifs et actifs.

Solution de contournement : Désactiver la protection étendue pour l’authentification

Avertissement

Nous vous déconseillons d’utiliser cette procédure comme solution à long terme. La désactivation de la protection étendue pour l’authentification affaiblit le profil de sécurité du service AD FS en ne détectant pas certaines attaques de l’intercepteur sur les points de terminaison de l’authentification Windows intégrée.

Remarque

Lorsque cette solution de contournement est appliquée pour les fonctionnalités d’application tierce, vous devez également désinstaller les correctifs logiciels sur le système d’exploitation client pour la protection étendue pour l’authentification.

Pour les clients passifs

Pour désactiver la protection étendue pour l’authentification pour les clients passifs, procédez comme suit pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :

  • Site web/adfs par défaut
  • Site web par défaut/adfs/ls

Pour cela, procédez comme suit :

  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d’informations sur l’ouverture du Gestionnaire des services Internet, consultez Ouvrir le Gestionnaire IIS (IIS 7).
  2. Dans La vue Fonctionnalités, double-cliquez sur Authentification.
  3. Dans la page Authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s’affiche, sélectionnez Désactivé dans le menu déroulant Protection étendue .

Pour les clients actifs

Pour désactiver la protection étendue pour l’authentification pour les clients actifs, procédez comme suit sur le serveur AD FS principal :

  1. Ouvrez Windows PowerShell.

  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Exécutez la commande suivante pour désactiver la protection étendue pour l’authentification :

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Réactiver la protection étendue pour l’authentification

Pour les clients passifs

Pour réactiver la protection étendue pour l’authentification pour les clients passifs, effectuez la procédure suivante pour les applications virtuelles IIS suivantes sur tous les serveurs de la batterie de serveurs de fédération AD FS :

  • Site web/adfs par défaut
  • Site web par défaut/adfs/ls

Pour cela, procédez comme suit :

  1. Ouvrez le Gestionnaire des services Internet et accédez au niveau que vous souhaitez gérer. Pour plus d’informations sur l’ouverture du Gestionnaire des services Internet, consultez Ouvrir le Gestionnaire IIS (IIS 7).
  2. Dans La vue Fonctionnalités, double-cliquez sur Authentification.
  3. Dans la page Authentification, sélectionnez Authentification Windows.
  4. Dans le volet Actions , cliquez sur Paramètres avancés.
  5. Lorsque la boîte de dialogue Paramètres avancés s’affiche, sélectionnez Accepter dans le menu déroulant Protection étendue .

Pour les clients actifs

Pour réactiver la protection étendue pour l’authentification pour les clients actifs, effectuez la procédure suivante sur le serveur AD FS principal :

  1. Ouvrez Windows PowerShell.

  2. Exécutez la commande suivante pour charger le Windows PowerShell pour le composant logiciel enfichable AD FS :

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Exécutez la commande suivante pour activer la protection étendue pour l’authentification :

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Résolution 4 : Remplacer les enregistrements CNAME par des enregistrements A pour AD FS

Utilisez les outils de gestion DNS pour remplacer chaque enregistrement d’alias DNS (CNAME) utilisé pour le service de fédération par un enregistrement d’adresse DNS (A). En outre, case activée ou prendre en compte les paramètres DNS d’entreprise lorsqu’une configuration DNS à cerveau fractionné est implémentée. Pour plus d’informations sur la gestion des enregistrements DNS, consultez Gestion des enregistrements DNS.

Résolution 5 : Configurer Internet Explorer en tant que client AD FS pour l’authentification unique (SSO)

Pour plus d’informations sur la configuration de l’Explorer Internet pour l’accès AD FS, consultez Un utilisateur fédéré est invité de manière inattendue à entrer des informations d’identification de compte professionnel ou scolaire.

Informations supplémentaires

Pour protéger un réseau, AD FS utilise la protection étendue pour l’authentification. La protection étendue pour l’authentification peut aider à empêcher les attaques de l’intercepteur dans lesquelles un attaquant intercepte les informations d’identification d’un client et les transfère à un serveur. La protection contre ces attaques est rendue possible à l’aide de Channel Binding Works (CBT). La cbt peut être requise, autorisée ou non par le serveur lorsque les communications sont établies avec les clients.

Le paramètre AD FS ExtendedProtectionTokenCheck spécifie le niveau de protection étendue pour l’authentification pris en charge par le serveur de fédération. Voici les valeurs disponibles pour ce paramètre :

  • Exiger : le serveur est entièrement renforcé. La protection étendue est appliquée.
  • Autoriser : il s’agit du paramètre par défaut. Le serveur est partiellement renforcé. Une protection étendue est appliquée pour les systèmes impliqués qui sont modifiés pour prendre en charge cette fonctionnalité.
  • Aucun : le serveur est vulnérable. La protection étendue n’est pas appliquée.

Les tableaux suivants décrivent le fonctionnement de l’authentification pour trois systèmes d’exploitation et navigateurs, en fonction des différentes options de protection étendue disponibles sur AD FS avec IIS.

Remarque

Les systèmes d’exploitation clients Windows doivent disposer de mises à jour spécifiques installées pour utiliser efficacement les fonctionnalités de protection étendue. Par défaut, les fonctionnalités sont activées dans AD FS.

Par défaut, Windows 7 inclut les fichiers binaires appropriés pour utiliser la protection étendue.

Windows 7 (ou des versions correctement mises à jour de Windows Vista ou de Windows XP)

Setting Require (Rendre obligatoire) Autoriser (valeur par défaut) Aucun
Client Windows Communication Foundation (WCF) (Tous les points de terminaison) Fonctionne Fonctionne Fonctionne
Internet Explorer 8 et versions ultérieures Fonctionne Fonctionne Fonctionne
Firefox 3.6 Échoue Échoue Fonctionne
Safari 4.0.4 Échoue Échoue Fonctionne

Windows Vista sans mises à jour appropriées

Setting Require (Rendre obligatoire) Autoriser (valeur par défaut) Aucun
Client WCF (Tous les points de terminaison) Échoue Fonctionne Fonctionne
Internet Explorer 8 et versions ultérieures Fonctionne Fonctionne Fonctionne
Firefox 3.6 Échoue Fonctionne Fonctionne
Safari 4.0.4 Échoue Fonctionne Fonctionne

Windows XP sans mises à jour appropriées

Setting Require (Rendre obligatoire) Autoriser (valeur par défaut) Aucun
Internet Explorer 8 et versions ultérieures Fonctionne Fonctionne Fonctionne
Firefox 3.6 Échoue Fonctionne Fonctionne
Safari 4.0.4 Échoue Fonctionne Fonctionne

Pour plus d’informations sur la protection étendue pour l’authentification, consultez la ressource Microsoft suivante :

Configuration des options avancées pour AD FS 2.0

Pour plus d’informations sur l’applet de commande Set-ADFSProperties, accédez au site web Microsoft suivant :

Set-ADFSProperties

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.