A un utente federato vengono ripetutamente richieste le credenziali durante l'accesso a Microsoft 365, Azure o Intune
Importante
Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il computer.
Problema
A un utente federato vengono ripetutamente richieste le credenziali quando l'utente tenta di eseguire l'autenticazione all'endpoint del servizio Active Directory Federation Services (AD FS) durante l'accesso a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune. Quando l'utente viene annullato, l'utente riceve il messaggio di errore Accesso negato .
Causa
Il sintomo indica un problema con l'autenticazione integrata di Windows con AD FS. Questo problema può verificarsi se si verifica una o più delle condizioni seguenti:
È stato usato un nome utente o una password non corretta.
Le impostazioni di autenticazione di Internet Information Services (IIS) vengono configurate in modo non corretto in AD FS.
Il nome dell'entità servizio (SPN) associato all'account del servizio usato per eseguire la server farm federativa ADFS viene perso o danneggiato.
Nota
Ciò si verifica solo quando AD FS viene implementato come server farm federativa e non viene implementato in una configurazione autonoma.
Una o più delle seguenti sono identificate da Protezione estesa per l'autenticazione come origine di un attacco man-in-the-middle:
- Alcuni browser Internet di terze parti
- Il firewall di rete aziendale, il servizio di bilanciamento del carico di rete o un altro dispositivo di rete pubblica il servizio federativo AD FS su Internet in modo che i dati del payload IP possano essere potenzialmente riscritti. Ciò include probabilmente i tipi di dati seguenti:
Bridging SSL (Secure Sockets Layer)
Offload SSL
Filtro dei pacchetti con stato
Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2510193 Scenari supportati per l'uso di AD FS per configurare l'accesso Single Sign-On in Microsoft 365, Azure o Intune
- Un'applicazione di monitoraggio o decrittografia SSL è installata o è attiva nel computer client
La risoluzione DNS (Domain Name System) dell'endpoint del servizio AD FS è stata eseguita tramite la ricerca di record CNAME anziché tramite una ricerca di record A.
Windows Internet Explorer non è configurato per passare l'autenticazione integrata di Windows al server AD FS.
Prima di iniziare la risoluzione dei problemi
Verificare che il nome utente e la password non siano la causa del problema.
Assicurarsi che venga usato il nome utente corretto e che sia in formato UPN (User Principal Name). Ad esempio, johnsmith@contoso.com.
Assicurarsi che venga usata la password corretta. Per verificare che venga usata la password corretta, potrebbe essere necessario reimpostare la password utente. Per altre informazioni, vedere l'articolo Microsoft TechNet seguente:
Assicurarsi che l'account non sia bloccato, scaduto o usato al di fuori delle ore di accesso designate. Per altre informazioni, vedere l'articolo Microsoft TechNet seguente: Gestione degli utenti
Verificare la causa
Per verificare che il problema sia causato da problemi Kerberos, ignorare temporaneamente l'autenticazione Kerberos abilitando l'autenticazione basata su moduli nella server farm federativa di AD FS. A tal fine, attenersi alla seguente procedura:
Passaggio 1: Modificare il file web.config in ogni server nella server farm federativa di AD FS
In Esplora risorse individuare la cartella C:\inetpub\adfs\ls\ e quindi creare una copia di backup del file web.config.
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse sul Blocco note e quindi scegliere Esegui come amministratore.
Scegliere Apri dal menu File. Nella casella Nome file digitare C:\inetpub\adfs\ls\web.config e quindi fare clic su Apri.
Nel file web.config seguire questa procedura:
Individuare la riga che contiene <la modalità> di autenticazione e quindi modificarla in <authentication mode="Forms"/>.
Individuare la sezione che inizia con <localAuthenticationTypes> e quindi modificare la sezione in modo che la < voce add name="Forms"> sia elencata per prima, come indicato di seguito:
<localAuthenticationTypes> <add name="Forms" page="FormsSignIn.aspx" /> <add name="Integrated" page="auth/integrated/" /> <add name="TlsClient" page="auth/sslclient/" /> <add name="Basic" page="auth/basic/" />
Scegliere Salva dal menu File.
Al prompt dei comandi con privilegi elevati riavviare IIS usando il comando iisreset.
Passaggio 2: Testare la funzionalità AD FS
In un computer client connesso e autenticato nell'ambiente Active Directory Domain Services locale accedere al portale del servizio cloud.
Anziché un'esperienza di autenticazione senza problemi, è consigliabile provare un accesso basato su moduli. Se l'accesso ha esito positivo usando l'autenticazione basata su moduli, viene confermato che nel servizio federativo AD FS esiste un problema con Kerberos.
Ripristinare la configurazione di ogni server nella server farm federativa di AD FS alle impostazioni di autenticazione precedenti prima di seguire i passaggi descritti nella sezione "Risoluzione". Per ripristinare la configurazione di ogni server nella server farm federativa di AD FS, seguire questa procedura:
- In Esplora risorse individuare la cartella C:\inetpub\adfs\ls\ e quindi eliminare il file web.config.
- Spostare il backup del file web.config creato nella sezione "Passaggio 1: Modificare il file web.config in ogni server della farm server federativa AD FS" nella cartella C:\inetpub\adfs\ls\.
Al prompt dei comandi con privilegi elevati riavviare IIS usando il comando iisreset.
Verificare che il comportamento di autenticazione di AD FS ripristini il problema originale.
Soluzione
Per risolvere il problema Kerberos che limita l'autenticazione di AD FS, usare uno o più dei metodi seguenti, in base alle esigenze.
Risoluzione 1: Reimpostare le impostazioni di autenticazione di AD FS sui valori predefiniti
Se le impostazioni di autenticazione IIS di AD FS non sono corrette o le impostazioni di autenticazione IIS per AD FS Federation Services e Servizi proxy non corrispondono, una soluzione consiste nel reimpostare tutte le impostazioni di autenticazione IIS sulle impostazioni predefinite di AD FS.
Le impostazioni di autenticazione predefinite sono elencate nella tabella seguente.
| Applicazione virtuale | Livelli di autenticazione |
|---|---|
| Sito Web predefinito/adfs | Autenticazione anonima |
| Sito Web predefinito/adfs/ls | Autenticazione anonima, autenticazione di Windows |
In ogni server federativo AD FS e in ogni proxy del server federativo AD FS usare le informazioni contenute nell'articolo Microsoft TechNet seguente per reimpostare le applicazioni virtuali IIS di AD FS sulle impostazioni di autenticazione predefinite:
Configurazione dell'autenticazione in IIS 7
Risoluzione 2: Correggere il nome SPN della server farm federativa AD FS
Nota
Provare questa risoluzione solo quando AD FS viene implementato come server farm federativa. Non provare questa risoluzione in una configurazione autonoma di AD FS.
Per risolvere il problema se il nome SPN per il servizio AD FS viene perso o danneggiato nell'account del servizio AD FS, seguire questa procedura in un server nella server farm federativa AD FS:
Aprire lo snap-in Gestione servizi. A tale scopo, fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare clic su Servizi.
Fare doppio clic su Servizio Windows AD FS (2.0).
Nella scheda Accesso prendere nota dell'account del servizio visualizzato in Questo account.
Fare clic su Start, scegliere Tutti i programmi e Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.
Digitare il comando seguente e quindi premere INVIO.
SetSPN –f –q host/<AD FS service name>Nota
In questo comando, <il nome> del servizio AD FS rappresenta il nome di dominio completo (FQDN) del nome di servizio dell'endpoint del servizio AD FS. Non rappresenta il nome host Windows del server AD FS.
Se vengono restituite più voci per il comando e il risultato è associato a un account utente diverso da quello annotato nel passaggio 3, rimuovere tale associazione. A tale scopo, utilizzare il seguente comando:
SetSPN –d host/<AD FS service name><bad_username>Se vengono restituite più voci per il comando e il nome spn usa lo stesso nome del computer del server AD FS in Windows, il nome dell'endpoint federativo per AD FS non è corretto. AD FS deve essere implementato di nuovo. Il nome di dominio completo della server farm federativa ADFS non deve essere identico al nome host Windows di un server esistente.
Se il nome SPN non esiste già, eseguire il comando seguente:
SetSPN –a host/<AD FS service name><username of service account>Nota
In questo comando il <nome utente dell'account> del servizio rappresenta il nome utente annotato nel passaggio 3.
Dopo aver eseguito questi passaggi in tutti i server della server farm federativa AD FS, fare clic con il pulsante destro del mouse su Servizio Windows AD FS (2.0) nello snap-in Gestione servizi e quindi scegliere Riavvia.
Risoluzione 3: Risolvere i problemi di protezione estesa per l'autenticazione
Per risolvere il problema se la protezione estesa per l'autenticazione impedisce l'autenticazione corretta, usare uno dei metodi consigliati seguenti:
- Metodo 1: usare Windows Internet Explorer 8 (o una versione successiva del programma) per accedere.
- Metodo 2: pubblicare i servizi AD FS in Internet in modo che il bridging SSL, l'offload SSL o il filtro dei pacchetti con stato non riscrivano i dati del payload IP. A questo scopo, è consigliabile usare un server proxy AD FS.
- Metodo 3: Chiudere o disabilitare applicazioni di monitoraggio o decrittografia SSL.
Se non è possibile usare uno di questi metodi, per risolvere questo problema, la protezione estesa per l'autenticazione può essere disabilitata per i client passivi e attivi.
Soluzione alternativa: Disabilitare la protezione estesa per l'autenticazione
Avviso
Non è consigliabile usare questa procedura come soluzione a lungo termine. La disabilitazione della protezione estesa per l'autenticazione indebolirà il profilo di sicurezza del servizio ADFS non rilevando alcuni attacchi man-in-the-middle sugli endpoint di autenticazione integrata di Windows.
Nota
Quando questa soluzione alternativa viene applicata per le funzionalità delle applicazioni di terze parti, è necessario disinstallare anche gli hotfix nel sistema operativo client per la protezione estesa per l'autenticazione.
Per i client passivi
Per disabilitare la protezione estesa per l'autenticazione per i client passivi, seguire questa procedura per le applicazioni virtuali IIS seguenti in tutti i server della server farm federativa AD FS:
- Sito Web predefinito/adfs
- Sito Web predefinito/adfs/ls
A tal fine, attenersi alla seguente procedura:
- Aprire Gestione IIS e passare al livello che si vuole gestire. Per informazioni sull'apertura di Gestione IIS, vedere Aprire Gestione IIS (IIS 7).
- In Visualizzazione funzionalità fare doppio clic su Autenticazione.
- Nella pagina Autenticazione selezionare Autenticazione di Windows.
- Nel riquadro Azioni fare clic su Impostazioni avanzate.
- Quando viene visualizzata la finestra di dialogo Impostazioni avanzate, selezionare Disattivata dal menu a discesa Protezione estesa .
Per i client attivi
Per disabilitare la protezione estesa per l'autenticazione per i client attivi, seguire questa procedura nel server AD FS primario:
Aprire Windows PowerShell.
Eseguire il comando seguente per caricare il Windows PowerShell per lo snap-in AD FS:
Add-PsSnapIn Microsoft.Adfs.PowershellEseguire il comando seguente per disabilitare la protezione estesa per l'autenticazione:
Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
Riabilitare la protezione estesa per l'autenticazione
Per i client passivi
Per riabilitare la protezione estesa per l'autenticazione per i client passivi, seguire questa procedura per le applicazioni virtuali IIS seguenti in tutti i server della server farm federativa di AD FS:
- Sito Web predefinito/adfs
- Sito Web predefinito/adfs/ls
A tal fine, attenersi alla seguente procedura:
- Aprire Gestione IIS e passare al livello che si vuole gestire. Per informazioni sull'apertura di Gestione IIS, vedere Aprire Gestione IIS (IIS 7).
- In Visualizzazione funzionalità fare doppio clic su Autenticazione.
- Nella pagina Autenticazione selezionare Autenticazione di Windows.
- Nel riquadro Azioni fare clic su Impostazioni avanzate.
- Quando viene visualizzata la finestra di dialogo Impostazioni avanzate, selezionare Accetta dal menu a discesa Protezione estesa .
Per i client attivi
Per riabilitare la protezione estesa per l'autenticazione per i client attivi, seguire questa procedura nel server AD FS primario:
Aprire Windows PowerShell.
Eseguire il comando seguente per caricare il Windows PowerShell per lo snap-in AD FS:
Add-PsSnapIn Microsoft.Adfs.PowershellEseguire il comando seguente per abilitare la protezione estesa per l'autenticazione:
Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
Risoluzione 4: Sostituire i record CNAME con record A per AD FS
Usare gli strumenti di gestione DNS per sostituire ogni record di alias DNS (CNAME) usato per il servizio federativo con un record di indirizzo DNS (A). Controllare o prendere in considerazione anche le impostazioni DNS aziendali quando viene implementata una configurazione DNS split brain. Per altre informazioni su come gestire i record DNS, vedere Gestione dei record DNS.
Risoluzione 5: Configurare Internet Explorer come client AD FS per l'accesso Single Sign-On (SSO)
Per altre informazioni su come configurare Internet Explorer per l'accesso ad AD FS, vedere Un utente federato viene richiesto in modo imprevisto di immettere le credenziali dell'account aziendale o dell'istituto di istruzione.For more information about how to set up Internet Explorer for AD FS access, see A federated user is prompted unexpectedly to enter work or school account credentials.
Ulteriori informazioni
Per proteggere una rete, AD FS usa la protezione estesa per l'autenticazione. La protezione estesa per l'autenticazione consente di evitare attacchi man-in-the-middle in cui un utente malintenzionato intercetta le credenziali di un client e le inoltra a un server. La protezione da tali attacchi è resa possibile tramite Channel Binding Works (CBT). Il CBT può essere richiesto, consentito o non richiesto dal server quando vengono stabilite comunicazioni con i client.
L'impostazione ExtendedProtectionTokenCheck AD FS specifica il livello di protezione estesa per l'autenticazione supportato dal server federativo. Questi sono i valori disponibili per questa impostazione:
- Richiedi: il server è completamente sottoposto a protezione avanzata. Viene applicata la protezione estesa.
- Consenti: questa è l'impostazione predefinita. Il server è parzialmente sottoposto a protezione avanzata. La protezione estesa viene applicata ai sistemi interessati che vengono modificati per supportare questa funzionalità.
- Nessuno: il server è vulnerabile. La protezione estesa non viene applicata.
Le tabelle seguenti descrivono il funzionamento dell'autenticazione per tre sistemi operativi e browser, a seconda delle diverse opzioni di protezione estesa disponibili in AD FS con IIS.
Nota
I sistemi operativi client Windows devono avere aggiornamenti specifici installati per usare in modo efficace le funzionalità di protezione estesa. Per impostazione predefinita, le funzionalità sono abilitate in AD FS.
Per impostazione predefinita, Windows 7 include i file binari appropriati per l'uso della protezione estesa.
Windows 7 (o versioni aggiornate in modo appropriato di Windows Vista o di Windows XP)
| Impostazione | Richiedono | Consenti (impostazione predefinita) | Nessuno |
|---|---|---|---|
| Client Windows Communication Foundation (WCF) (tutti gli endpoint) | Funziona | Funziona | Funziona |
| Internet Explorer 8 e versioni successive | Funziona | Funziona | Funziona |
| Firefox 3.6 | Ha esito negativo | Ha esito negativo | Funziona |
| Safari 4.0.4 | Ha esito negativo | Ha esito negativo | Funziona |
Windows Vista senza aggiornamenti appropriati
| Impostazione | Richiedono | Consenti (impostazione predefinita) | Nessuno |
|---|---|---|---|
| Client WCF (tutti gli endpoint) | Ha esito negativo | Funziona | Funziona |
| Internet Explorer 8 e versioni successive | Funziona | Funziona | Funziona |
| Firefox 3.6 | Ha esito negativo | Funziona | Funziona |
| Safari 4.0.4 | Ha esito negativo | Funziona | Funziona |
Windows XP senza aggiornamenti appropriati
| Impostazione | Richiedono | Consenti (impostazione predefinita) | Nessuno |
|---|---|---|---|
| Internet Explorer 8 e versioni successive | Funziona | Funziona | Funziona |
| Firefox 3.6 | Ha esito negativo | Funziona | Funziona |
| Safari 4.0.4 | Ha esito negativo | Funziona | Funziona |
Per altre informazioni sulla protezione estesa per l'autenticazione, vedere la risorsa Microsoft seguente:
Configurazione delle opzioni avanzate per AD FS 2.0
Per altre informazioni sul cmdlet Set-ADFSProperties, visitare il sito Web Microsoft seguente:
Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.
I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per