Při přihlášení federovaného uživatele k Microsoftu 365, Azure nebo Intune ze služby AD FS došlo k chybě s přístupem k webu

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problém

Když se federovaný uživatel pokusí přihlásit ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, uživateli se z Active Directory Federation Services (AD FS) (AD FS) zobrazí následující chybová zpráva:

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Když dojde k této chybě, adresní řádek webového prohlížeče odkazuje na místní koncový bod služby AD FS na adresu, která se podobá následující:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Příčina

K tomuto problému může dojít z jednoho z následujících důvodů:

  • Nastavení jednotného přihlašování (SSO) prostřednictvím služby AD FS nebylo dokončeno.
  • Platnost podpisového certifikátu tokenu služby AD FS vypršela.
  • Deklarace identity zásad klientského přístupu služby AD FS jsou nesprávně nastavené.
  • Vztah důvěryhodnosti předávající strany s Microsoft Entra ID chybí nebo je nesprávně nastavený.
  • Proxy server federační služby AD FS je nesprávně nastavený nebo je nesprávně vystavený.
  • Účet AD FS IUSR nemá uživatelské oprávnění Zosobnit klienta po ověření.

Řešení

Pokud chcete tento problém vyřešit, použijte metodu, která je vhodná pro vaši situaci.

Scénář 1: Platnost podpisového certifikátu tokenu SLUŽBY AD FS vypršela

Zkontrolujte, jestli nevypršela platnost podpisového certifikátu tokenu.

Pokud chcete zkontrolovat, jestli vypršela platnost podpisového certifikátu tokenu, postupujte takto:

  1. Klikněte na Start, klikněte na Všechny programy, nástroje pro správu a potom na Správa služby AD FS (2.0).
  2. V konzole pro správu služby AD FS klikněte na Služba, klikněte na Certifikáty a potom zkontrolujte data platnosti a vypršení platnosti podpisového certifikátu tokenu SLUŽBY AD FS.

Pokud vypršela platnost certifikátu, je potřeba ho obnovit, aby se obnovila funkce ověřování jednotného přihlašování.

Obnovení podpisového certifikátu tokenu (pokud vypršela jeho platnost)

Pokud chcete obnovit podpisový certifikát tokenu na primárním serveru SLUŽBY AD FS pomocí certifikátu podepsaného svým držitelem, postupujte takto:

  1. Ve stejné konzole pro správu služby AD FS klikněte na Služba, klikněte na Certifikáty a potom v části **Certifikace **v podokně Akce klikněte na Přidat Token-Signing certifikát.
  2. Pokud se zobrazí upozornění Certifikáty nelze změnit, když je povolená funkce automatického převodu certifikátů služby AD FS, přejděte ke kroku 3. V opačném případě zkontrolujte data platnosti a vypršení platnosti certifikátu. Pokud se certifikát úspěšně prodloužil, nemusíte provádět kroky 3 a 4.
  3. Pokud se certifikát neprodlouží, klikněte na Start, přejděte na Všechny programy, klikněte na Příslušenství, klikněte na složku Windows PowerShell, klikněte pravým tlačítkem na Windows PowerShell a potom klikněte na Spustit jako správce.
  4. Na příkazovém řádku Windows PowerShell zadejte následující příkazy. Po zadání každého příkazu stiskněte Enter:
    • Add-PSSnapin Microsoft.Adfs.PowerShell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Pokud chcete obnovit podpisový certifikát tokenu na primárním serveru SLUŽBY AD FS pomocí certifikátu podepsaného certifikační autoritou, postupujte takto:

  1. Vytvořte soubor WebServerTemplate.inf. Postupujte takto:

    1. Spusťte Poznámkový blok a otevřete nový prázdný dokument.

    2. Do souboru vložte následující:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. V souboru změňte subject="CN=adfs.contoso.com" na následující:

      subject="CN=your-federation-service-name"

    4. V nabídce Soubor klikněte na Uložit jako.

    5. V dialogovém okně Uložit jako klikněte na Všechny soubory (.) ** v poli Uložit jako typ .

    6. Do pole Název souboru zadejte WebServerTemplate.inf a klikněte na Uložit.

  2. Zkopírujte soubor WebServerTemplate.inf na jeden z federačních serverů služby AD FS.

  3. Na serveru AD FS otevřete okno příkazového řádku pro správu.

  4. Pomocí příkazu cd(change directory) přejděte do adresáře, do kterého jste zkopírovali soubor INF.

  5. Zadejte následující příkaz a stiskněte klávesu Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Odešlete výstupní soubor AdfsSSL.req vaší certifikační autoritě k podepsání.

  7. Certifikační autorita vrátí podepsanou část veřejného klíče ve formátu .p7b nebo .cer. Zkopírujte tento soubor na server služby AD FS, na kterém jste požadavek vygenerovali.

  8. Na serveru AD FS otevřete okno příkazového řádku pro správu.

  9. Pomocí příkazu cd(change directory) přejděte do adresáře, do kterého jste zkopírovali soubor .p7b nebo .cer.

  10. Zadejte následující příkaz a stiskněte klávesu Enter:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Dokončení obnovení funkce jednotného přihlašování

Bez ohledu na to, jestli se používá certifikát podepsaný svým držitelem nebo certifikát podepsaný certifikační autoritou, měli byste dokončit obnovení funkce ověřování jednotného přihlašování. Postupujte takto:

  1. Přidejte přístup pro čtení k privátnímu klíči pro účet služby AD FS na primárním serveru AD FS. Postupujte takto:
    1. Klikněte na Start, klikněte na Spustit, zadejte mmc.exe a stiskněte Enter.
    2. V nabídce Soubor klikněte na Přidat nebo odebrat modul snap-in.
    3. Poklikejte na Certifikáty, vyberte Účet počítače a potom klikněte na Další.
    4. Vyberte Místní počítač, klikněte na Dokončit a potom klikněte na OK.
    5. Rozbalte položku Certifikáty (místní počítač), rozbalte položku Osobní a potom klikněte na Certifikáty.
    6. Klikněte pravým tlačítkem na nový podpisový certifikát tokenu, přejděte na Všechny úlohy a potom klikněte na Spravovat privátní klíče.
    7. Přidejte k účtu služby AD FS přístup pro čtení a klikněte na OK.
    8. Ukončete modul snap-in Certifikáty.
  2. Aktualizujte kryptografický otisk nového certifikátu a datum vztahu důvěryhodnosti předávající strany pomocí Microsoft Entra ID. Postup najdete v části "Jak aktualizovat konfiguraci federované domény Microsoftu 365" v tématu Postup aktualizace nebo opravy nastavení federované domény v Microsoftu 365, Azure nebo Intune.
  3. Znovu vytvořte konfiguraci vztahu důvěryhodnosti proxy serveru služby AD FS. Postupujte takto:
    1. Restartujte službu AD FS pro Windows na primárním serveru AD FS.
    2. Počkejte 10 minut, než se certifikát replikuje do všech členů farmy federačních serverů, a pak restartujte službu AD FS pro Windows na zbývajících serverech AD FS.
    3. Znovu spusťte Průvodce konfigurací proxy serveru na každém proxy serveru služby AD FS. Další informace najdete v tématu Konfigurace počítače pro roli proxy federačního serveru.

Scénář 2: Nedávno jste aktualizovali zásady přístupu klienta prostřednictvím deklarací identity a teď nefunguje přihlášení.

Zkontrolujte, jestli se správně použily zásady klientského přístupu. Další informace najdete v tématu Omezení přístupu ke službám Microsoft 365 na základě umístění klienta.

Scénář 3: Koncový bod federačních metadat nebo vztah důvěryhodnosti předávající strany může být zakázaný.

Povolte koncový bod federačních metadat a vztah důvěryhodnosti předávající strany s Microsoft Entra ID na primárním serveru SLUŽBY AD FS. Postupujte takto:

  1. Otevřete konzolu pro správu služby AD FS 2.0.
  2. Ujistěte se, že je povolený koncový bod federačních metadat. Postupujte takto:
    1. V levém navigačním podokně přejděte na AD FS (2.0), Služba, Koncové body.
    2. V prostředním podokně klikněte pravým tlačítkem na položku /Federation Metadata/2007-06/FederationMetadata.xml a potom kliknutím vyberte Povolit a povolit na proxy serveru.
  3. Ujistěte se, že je povolený vztah důvěryhodnosti předávající strany s Microsoft Entra ID. Postupujte takto:
    1. V levém navigačním podokně přejděte na SLUŽBU AD FS (2.0), pak vztahy důvěryhodnosti a vztahy důvěryhodnosti předávající strany.
    2. Pokud existuje Microsoft Office 365 Identity Platform, klikněte pravým tlačítkem myši na tuto položku a potom klikněte na Povolit.
  4. Opravte vztah důvěryhodnosti předávající strany pomocí Microsoft Entra ID v části Aktualizace vlastností důvěryhodnosti v tématu Ověření a správa jednotného přihlašování pomocí služby AD FS.

Scénář 4: Možná chybí nebo je poškozený vztah důvěryhodnosti předávající strany

Odeberte a znovu přidejte vztah důvěryhodnosti předávající strany. Postupujte takto:

  1. Přihlaste se k základnímu serveru AD FS.
  2. Klikněte na Start, přejděte na Všechny programy, klikněte na Nástroje pro správu a potom klikněte na Správa služby AD FS (2.0).
  3. V konzole pro správu rozbalte položku AD FS (2.0), rozbalte vztahy důvěryhodnosti a pak rozbalte vztahy důvěryhodnosti předávající strany.
  4. Pokud existuje Microsoft Office 365 Identity Platform, klikněte pravým tlačítkem na tuto položku a potom klikněte na Odstranit.
  5. Znovu přidejte vztah důvěryhodnosti předávající strany podle části Aktualizace vlastností vztahu důvěryhodnosti v tématu Ověření a správa jednotného přihlašování pomocí služby AD FS.

Scénář 5: Účet služby AD FS nemá uživatelské oprávnění Zosobnit klienta po ověření.

Pokud chcete účtu služby AD FS IUSR udělit uživatelské oprávnění Zosobnit klienta po ověření, přečtěte si téma Id události 128 – systém Windows NT konfigurace aplikace založené na tokenech.

Odkazy

Další informace o řešení potíží s přihlášením pro federované uživatele naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

  • 2530569 Řešení potíží s nastavením jednotného přihlašování v Microsoftu 365, Intune nebo Azure
  • 2712961 Řešení potíží s připojením ke koncovému bodu služby AD FS při přihlašování uživatelů k Microsoftu 365, Intune nebo Azure

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.