Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Turpiniet problēmu novēršanas pārbaudīt iespējamās problēmas, kas saistītas ar paļaujoties puses.

Turpiniet paļaujoties personu papildu pārbaudes.

Turpiniet problēmu novēršanas darbības, lai pārbaudītu SSL sertifikāts.

Turpiniet problēmu novēršanas darbības, lai pārbaudītu starpniekservera uzticamības relācija starp tīmekļa lietojumprogrammas starpniekserveris un AD FS.

Saistījuma var konfliktēt ar AD FS sertifikātu saistoša ports 443.

Kāda problēma lietotājam rodas ar SSO

Šī problēma var rasties AD FS reģistrācijas lapu vai lietojumprogrammas pusē.

Ja problēma pastāv AD FS pierakstīšanās lapā, tiek parādīts "radās kļūda", "HTTP 503 pakalpojums nav pieejams" vai kādu citu kļūdas ziņojumu. AD FS pakalpojuma nosaukumu, piemēram, fs.contoso.com parāda kļūdas lapas URL.

Lietojumprogrammu blakus problēmai, ja kļūdas lapas URL parāda mērķa pakalpojumu vietnes nosaukums vai IP adrese.

Ja rodas problēma

Vai šī problēma ietekmē visiem lietotājiem

Lietotājs var piekļūt, paļaujoties puses

Šī problēma rodas situācijā Azure AD

Lietotājs var piekļūt, paļaujoties puses

Ja pilnvara parakstīšanas sertifikātu nesen tika atjaunota, AD FS, pārbaudiet, vai ja jauns sertifikāts ir izdots Federācijas partneris. AD FS izmanto atšifrēšanas sertifikātu, kas tika atjaunota arī nesen pilnvara, ja to pašu izvēles arī. Lai pārbaudītu, vai ja pašreizējā AD FS pilnvara parakstīšanas sertifikātu AD FS atbilst integrācijas partnera, rīkojieties šādi:

  1. Iegūstiet pašreizējo pilnvaru parakstīšanas sertifikātu AD FS, palaižot šādu komandu:
    Get-ADFSCertificate -CertificateType token-signing

  2. Sertifikātu atpakaļ sarakstā atrodiet ar IsPrimary = TRUE, un pierakstiet īssavilkums.

  3. Iegūstiet pašreizējo pilnvaru parakstīšanas sertifikātu Federācijas partneru īssavilkums. Lietojumprogrammu īpašniekam ir sniegt to.

  4. Salīdziniet thumbprints divi sertifikāti .

To pašu izvēles ja AD FS izmanto atjaunoto pilnvara neatšifrējot sertifikātu, izņemot to, ka komandu, lai iegūtu pilnvara neatšifrējot AD FS sertifikātam ir šādi:
Get-ADFSCertificate -CertificateType token-decrypting

Ja pilnvaru paraksta sertifikāta vai pilnvara atšifrētu sertifikāts ir pašparakstīts, AutoCertificateRollover ir iespējota pēc noklusējuma sertifikātiem un AD FS pārvalda Automātiskās atjaunošanas sertifikātu, tie ir tuvu derīguma.

Lai noteiktu, ja izmantojat pašparakstīts sertifikāti, rīkojieties šādi:

  1. Palaidiet šādu komandu:
    Get-ADFSCerticate -CertificateType "token-signing"
    Get-ADFSCertificate

  2. Pārbaudiet sertifikāta atribūtus.
    Ja tēma un izdevējs atribūti gan sākas ar "CN = ADFS paraksta …", sertifikātu self parakstīts un pārvalda AutoCertRollover.

Lai apstiprinātu, ja sertifikāti atjaunoti automātiski, rīkojieties šādi:

  1. Palaidiet šādu komandu:
    Get-ADFSProperties | FL AutoCertificateRollover
    Get-ADFSProperties

  2. Pārbaudiet AutoCertificateRollover atribūts.

    • Ja AutoCertificateRollover = TRUE, AD FS automātiski izveido jaunu sertifikātu (30 dienas pirms termiņa pēc noklusējuma) un iestata tās primārā sertifikāti (25 dienas pirms termiņa beigām).

    • Ja AutoCertificateRollover = FALSE, ir manuāli jāmaina sertifikātu.

Vai thumbprints atbilst?

Lai pārbaudītu, vai ir nesaderību, rīkojieties šādi:

  1. Noteiktu algoritmu paļaujoties puse, palaižot šādu komandu: Get-ADFSRelyingPartyTrust -Name RPName | FL SignatureAlgorithm

    Iespējamās vērtības ir Sha1 vai SHA256 .

  2. Sazinieties ar lietojumprogrammas īpašnieks algoritmu lietojumprogrammu pusē.

  3. Ja diviem algoritmu atbilst pārbaude

Nepastāv neatbilstība

Vai lietotājs saņemt neparedzētas NTLM uzvedni vai autentifikāciju, kuras pamatā tiek izmantotas veidlapas uzvedni?

Lietotājs saņemt neparedzētas vairāku faktoru autentifikācijas uzvednes Vai arī lietotājs atkārtoti saņemt uzvedne?

Šī problēma rodas situācijā Azure AD

Netiek nosūtīti Azure AD autentifikācijas pieprasījumu ietver parametru uzvednes = pieteikšanās

Pieprasījuma parametru kā WAUTH un RequestedAuthNContext autentifikācijas pieprasījumiem var būt norādīts autentifikācijas metodes. Ir parametru pieprasījuma izpildes neparedzēta autentifikācijas uzvedne

Kā novērst problēmas, izmantojiet šādas metodes.

Windows PowerShell vai UI lietotāja statusa pārbaude. Ja lietotājs ir atspējota, ļauj lietotājam.

Izmantojot Windows PowerShell lietotāja statusa pārbaude

  1. Pieteikties uz kādu no domēna kontrolleri.

  2. Atveriet Windows PowerShell.

  3. Pārbaudiet lietotāja statusu, palaižot šādu komandu:
    Get-ADUser -Identity <samaccountname of the user> | Select Enabled
    Get-ADUser

Lietotāja interfeisa lietotāja statusa pārbaude

  1. Pieteikties uz kādu no domēna kontrolleri.

  2. Atveriet Active Directory lietotāju un datoru pārvaldības konsoli.

  3. Noklikšķiniet uz lietotāju mezglu, lietotājs labajā rūtī ar peles labo pogu noklikšķiniet uz un pēc tam noklikšķiniet uz Rekvizīti.

  4. Noklikšķiniet uz cilnes konts .

  5. Zem konta opcijaspārliecinieties, vai ja tiek pārbaudīts konts ir atspējots .
    The "Account is disabled" option under Account options

  6. Ja ir atzīmēta opcija, noņemiet to.

Šī problēma ir atrisināta?

Jebkurš lietotājs īpašums atjaunināšanas pakalpojumā Active Directory, ja tas rada lietotāja objekta metadatu izmaiņas. Pārbaudiet lietotāja metadatu objektu skatīt rekvizītus nesen tika atjauninātas. Ja ir atrastas izmaiņas, pārliecinieties, vai, tie tiek uztverti saistītie pakalpojumi. Pārbaudiet, vai pastāv rekvizītu izmaiņas lietotājam, rīkojieties šādi:

  1. Pieteikties ar domēna kontrolleri.

  2. Atveriet Windows PowerShell.

  3. Iegūt lietotāja objekta metadatus, palaižot šādu komandu:
    repadmin /showobjmeta <destination DC> "user DN"

    Piemēram, komanda ir:
    repadmin /showobjmeta localhost "CN=test user,CN=Users,DC=fabidentity,DC=com"

  4. Metadatu pārbauda katru atribūtu izmaiņas jebkurā pavediens kolonnu datumu un laiku. Šajā piemērā userPrincipleName atribūtu aizņem jaunāks datumu nekā citi atribūti, kas apzīmē lietotāja objekta metadatu izmaiņas.
    repadmin show user metadata

Šī problēma ir atrisināta?

Vairāku meža AD FS vidē, ir nepieciešams mežā, kur AD FS izvietošanas un mežos, kas izmanto autentifikācijai AD FS izvietošanas divvirzienu mežu uzticamība. Lai pārbaudītu, vai ja starp mežu uzticamība darbojas kā paredzēts, rīkojieties šādi:

  1. Piesakieties ar domēna kontrolleri, kur tiek izvietota AD FS mežā.

  2. Active Directory Domains and Trusts atvērt pārvaldības konsole.

  3. , Pārvaldības konsole, ar peles labo pogu noklikšķiniet uz domēna, kas ir pārliecināts, ka vēlaties pārbaudīt un pēc tam noklikšķiniet uz Rekvizīti.

  4. Noklikšķiniet uz cilnes uzticas .

  5. Domēnu uzticas šim domēnam (izejošais uzticamība) vai domēnu, uzticamības domēnā (ienākošais uzticamība), noklikšķiniet uz pārbaudīt uzticamību un pēc tam noklikšķiniet uz Rekvizīti.

  6. Noklikšķiniet uz validēt.
    Active Directory domēna pakalpojumu dialoglodziņā atlasiet vienu no šīm opcijām.

    • Ja izvēlēsities , ieteicams savstarpēja domēna atkārtojat to pašu procedūru.

    • Atlasot , nodrošina abpusēju domēna administratora lietotāja akreditācijas datus. Nav nepieciešams veikt to pašu procedūru savstarpēja domēna.

Active Directory Domain Services

  • Šī problēma ir atrisināta?

Dump pilnvaru ziņas noder, ja atkļūdošanas problēmas integrācijas pakalpojumu, kā arī pārbaudot pielāgotas prasību noteikumi. Nav Oficiālais risinājumu, bet labi neatkarīgas atkļūdošanas risinājumu ieteicams problēmu novēršanas nolūkā.

Pirms pilnvaru Dump lietošana, jums ir nepieciešams:

  1. Iegūt informāciju paļaujoties puses lietojumprogrammai, kurai vēlaties piekļūt. OAuth klienta informāciju, kā arī iegūt izpilde OAuth autentifikācija.

  2. Iestatiet Dump pilnvaru ziņas.

Iegūstiet paļaujoties personu un OAuth klienta informāciju

Ja izmantojat parasto paļaujoties puses, rīkojieties šādi:

  1. AD FS serverī, atveriet Windows PowerShell ar opciju Palaist kā administratoram .

  2. Pievienojiet AD FS 2.0 komponentu Windows PowerShell, palaižot šādu komandu:
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. Iegūt paļaujoties puses informāciju, palaižot šādu komandu:
    $rp = Get-AdfsRelyingPartyTrust RPName

  4. Iegūt informāciju par OAuth klients, palaižot šādu komandu:
    $client = Get-AdfsClient ClientName

Ja izmantojat Windows Server 2016 lietojumprogrammu grupu funkciju, veiciet tālāk norādītās darbības.

  1. AD FS serverī, atveriet Windows PowerShell ar opciju Palaist kā administratoram .

  2. Iegūt paļaujoties puses informāciju, palaižot šādu komandu:
    $rp = Get-AdfsWebApiApplication ResourceID

  3. Ja OAuth klients ir publiska, saņemt klienta informācijas , palaižot šādu komandu:
    $client = Get-AdfsNativeClientApplication ClientName

    Ja OAuth klients ir konfidenciāli saņemt klienta informācijas , palaižot šādu komandu:
    $client = Get-AdfsServerApplication ClientName

Iestatīt Dump pilnvaru ziņas

Iestatīt Dump pilnvaru lietojumprogramma, Windows PowerShell logā palaidiet tālāk norādītās komandas.

$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"
$issuanceRules = "x:[]=>issue(claim=x);"
$redirectUrl = "https://dumptoken.azurewebsites.net/default.aspx"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

Tagad turpināt šo problēmu novēršanas metodes. Pēc katras metodes, skatīt, ja problēma ir atrisināta. Pretējā gadījumā izmantojiet citu metodi.

Ar šo metodi, vispirms iegūt politikas informācija, un pēc tam izmantojiet Dump pilnvaru app noteikt politiku skatiet, ja lietotājs tiek ietekmēta.

Papildinformācija politika

$rp. IssuanceAuthorizationRules parāda paļaujoties puses autorizēšanas noteikumi.

Operētājsistēmā Windows Server 2016 un jaunākās versijās, varat izmantot $rp. AccessControlPolicyName autentifikācija un autorizācija politikas konfigurēšana. Ja $rp. AccessControlPolicyName ir vērtība, piekļuves vadības politikas, kas nosaka atļauju politika. Šādā gadījumā $rp. IssuanceAuthorizationRules ir tukša. Izmantojiet $rp. Lai uzzinātu informāciju par piekļuves vadības politiku ResultantPolicy.

Ja $rp. ResultantPolicy nav informācijas par politiku, meklēt faktisko prasību noteikumi. Lai iegūtu prasību kārtulas, rīkojieties šādi:

  1. Iestatiet piekļuves vadības politikas $null, palaižot šādu komandu:
    Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -AccessControlPolicyName $null

  2. Iegūt paļaujoties puses informāciju, palaižot šādu komandu:
    $rp = Get-AdfsRelyingPartyTrust RPName

  3. Check $rp.IssuanceAuthorizationRulesun$rp. AdditionalAuthenticationRules.

Izmantot Dump pilnvaru app noteikt atļauju politika

  1. Iestatiet Dump pilnvaru autentifikācijas politika ir tāda pati kā bojāto paļaujoties puses.

  2. Atveriet kādu no šīm saitēm autentifikācijas politika tiek iestatīts atkarībā no lietotājam ir.

    • WS-Fed:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML Rhttps://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Spēkā vairāku faktoru autentificēšana:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  3. Pierakstīties pierakstīšanās lapā.

Kas jums ir lietotāja prasībām. Pārliecinieties, vai ir kādas darbības atļauju politika skaidri aizliedz vai ļauj lietotājam atkarībā no šīs prasības.

Šī problēma ir atrisināta?

  1. Konfigurējiet prasību noteikumi Dump pilnvaru lietojumprogrammā ir tāda pati kā bojāto paļaujoties puses prasību noteikumiem.

  2. Konfigurējiet Dump pilnvaru autentifikācijas politika ir tāda pati kā bojāto paļaujoties puses.

  3. Atveriet kādu no šīm saitēm autentifikācijas politika tiek iestatīts atkarībā no lietotājam ir.

    • WS-Fed:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML Rhttps://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Spēkā vairāku faktoru autentificēšana:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  4. Pierakstīties pierakstīšanās lapā.

Tas ir iestatīts paļaujoties puses gatavojas saņemt lietotāja prasības. Ja visas prasības ir pazuduši vai neparedzēti, skatiet izdošanas politika noskaidrot iemeslu.

Ja pieprasījumu, pārbaudiet ar lietojumprogrammas īpašnieks pie kura prasība ir trūkst vai neparedzēti.

Šī problēma ir atrisināta?

Ja autorizēšanas noteikumi meklētu ierīces pieprasījumu, pārbaudiet, vai ja trūkst kāda no šiem apgalvojumiem ierīces Dump pilnvaru ziņas jums prasību sarakstā. Trūkst prasības varētu bloķēt ierīces autentifikāciju. Iegūt no Dump pilnvaru lietojumprogrammu prasības, izpildiet metodi pārbaudiet atļauju politika tika ietekmēta lietotāju sadaļā lietot Dump pilnvaru app noteikt atļauju politika .

Tālāk norādītas ierīces prasībām. Autorizēšanas noteikumi var izmantot dažus no tiem.

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser

  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown

  • http://schemas.microsoft.com/2014/02/deviceusagetime

  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant

  • http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype

Ja trūkst prasības, izpildiet lokālas ierobežotas piekļuves konfigurēšana, izmantojot reģistrēta ierīču pārliecināties, vai vides ir iestatīts ierīces autentifikāciju.

Ja šīs prasības, skatiet ja Dump pilnvaru lietojumprogrammu prasības vērtības atbilst vērtībām nepieciešama atļauju politika.

Šī problēma ir atrisināta?

Kā novērst problēmas, izmantojiet šādas metodes. Pēc katras metodes, skatīt, ja problēma ir atrisināta. Pretējā gadījumā izmantojiet citu metodi.

Ja lietotājs mēģina pieteikties Azure AD, tie tiks novirzīti uz AD FS domēnam integrētās autentifikācijas. Viens no pieteikšanās neizdevās iespējamie iemesli ir, lietotājs vēl nav sinhronizēta Azure ad. Iespējams, redzēsit cilpa no Azure AD un AD FS pēc pirmās autentifikācijas mēģinājums AD FS. Lai noteiktu, vai lietotājs tiek sinhronizēts Azure AD, rīkojieties šādi:

  1. Lejupielādēt un instalējiet Windows PowerShell Azure AD PowerShell modulis.

  2. Atveriet Windows PowerShell ar opciju "Palaist kā administratoram".

  3. Uzsākt Azure AD savienojumu, palaižot šādu komandu:
    Connect-MsolService

  4. Savienojums nodrošina pasaules administratora akreditācijas datiem.

  5. Azure AD saņemt lietotāju sarakstu, palaižot šādu komandu:
    Get-MsolUser

  6. Pārbaudiet, vai lietotājs nav sarakstā.

Ja lietotājs nav sarakstā, sinhronizēt Azure AD lietotājam.

Šī problēma ir atrisināta?

Azure AD nepieciešams immutableID un lietotāja UPN autentificēt lietotāju.

Piezīme. immutableID sauc arī par sourceAnchor ar šiem rīkiem:

  • Azure AD Sync

  • Azure Active Directory sinhronizēšana (DirSync)

Administratori var izmantot Azure AD savienojumu automātiskās vadības AD FS drošības kontroles Azure reklāmas. Ja pārvaldāt nav drošības kontroles Azure AD savienojumu, izmantojot, ieteicams to izdarīt, lejupielādēt Azure AD savienojumu. Azure AD savienojumu ļauj automātiski pieprasīt kārtulu pārvaldības pamatā sinhronizēšanas iestatījumi.

Lai pārbaudītu, vai prasību noteikumi immutableID un UPN AD FS spēlēs ko Azure AD izmanto, rīkojieties šādi:

  1. Iegūt sourceAnchor un UPN Azure AD savienojumu.

    1. Azure AD atvērt savienojumu.

    2. Noklikšķiniet uz Skatīt pašreizējo konfigurāciju.
      Azure AD Connect -View current configuration

    3. Lapā Review Your risinājumu pierakstiet Avota enkura un Lietotāja primārā nosaukumavērtības.
      Azure AD Connect -Review your solution

  2. Verify immutableID (sourceAnchor) un UPN vērtību atbilstošajā pieprasīt konfigurēts AD FS servera kārtulas.

    1. Pārvaldības konsole serverī AD FS atvērt AD FS .

    2. Noklikšķiniet uz uzticamā puse uzticas.

    3. Ar peles labo pogu noklikšķiniet uz paļaujoties personu drošības kontroles Azure reklāmas un pēc tam noklikšķiniet uz Rediģēt prasības izdošanas politika .

    4. Nemainīgs ID un UPN pieprasītās informācijas kārtulai atvēršana

    5. Pārbaudiet, vai ja mainīgos pieprasīja immutableID un UPN vērtības ir tāds pats kā tās parādās Azure AD savienojumu.
      Issue UPN and ImmutableID

    6. Ja ir atšķirība, izmantojiet kādu no tālāk minētajām metodēm:

      • Ja AD FS pārvalda Azure AD savienojumu, atiestatīt paļaujoties pušu uzticamība, izmantojot Azure AD savienojumu.

      • Ja AD FS nepārvalda Azure AD savienojumu, labot prasības ar labo atribūtus.
         

Šī problēma ir atrisināta?

Informācija tiks izmanto attiecīgos problēmu novēršanas darbības.

 

Ja izmantojat parasto paļaujoties puses, rīkojieties šādi:

  1. Primārā AD FS serverī, atveriet Windows PowerShell ar opciju Palaist kā administratoram .

  2. Pievienojiet AD FS 2.0 komponentu Windows PowerShell, palaižot šādu komandu:
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. Iegūt paļaujoties puses informāciju, palaižot šādu komandu:
    $rp = Get-AdfsRelyingPartyTrust RPName

  4. Iegūt informāciju par OAuth klients, palaižot šādu komandu:
    $client = Get-AdfsClient ClientName

Ja izmantojat Windows Server 2016 lietojumprogrammu grupu funkciju, veiciet tālāk norādītās darbības.

  1. Primārā AD FS serverī, atveriet Windows PowerShell ar opciju Palaist kā administratoram .

  2. Iegūt paļaujoties puses informāciju, palaižot šādu komandu:
    $rp = Get-AdfsWebApiApplication ResourceID

  3. Ja publiskā OAuth klients, iegūt informāciju par klienta palaižot šādu komandu:
    $client = Get-AdfsNativeClientApplication ClientName

    Ja klients ir konfidenciāla, iegūt informāciju par klientu, palaižot šādu komandu:
    $client = Get-AdfsServerApplication ClientName

Tagad turpināt šo problēmu novēršanas metodes.

Paļaujoties puses identifikators, klienta ID un novirzīt īpašnieks un klienta jāsniedz URI. Tomēr joprojām iespējams īpašnieks sniedz un kas ir konfigurētas AD FS nesaderību. Piemēram, kļūda varēja izraisīt nesaderību. Ja iestatījumi nodrošina īpašnieks atbilst tiem konfigurēts AD FS pārbaude Iepriekšējā lapā aprakstītās darbības jums AD FS izmantojot PowerShell konfigurēt iestatījumus.

Iestatījumi nodrošina īpašnieks

AD FS konfigurēt iestatījumus

Uzticamā puse ID

$rp.Identifier

Uzticamā puse novirzīt URI

Prefiksu vai aizstājējzīmes atbilstība

  • $rp. WSFedEndpoint WS-Fed paļaujoties puse

  • $rp. SamlEndpoints par SAML uzticamā puse

Klienta ID

$client.ClientId

Klienta novirzīt URI

Prefiksu atbilstība $client. RedirectUri

Vai vienumu tabulā atbilst papildus pārbaudiet, ja šie iestatījumi atbilst nosauktās autentifikācijas pieprasījumu nosūtīt AD FS un kas ir konfigurētas AD FS. Izmēģiniet atveidot problēmu laikā jūs fiksēt Fiddler trasēšanas nosūtījis pieteikuma AD FS autentifikācijas pieprasījumu. Pārbaudiet to veikt šādas pārbaudes pieprasījums atkarībā no pieprasījuma parametrus.

OAuth pieprasījumi

OAuth pieprasījuma izskatās šādi:

https://sts.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

Pārbaudiet, ja pieprasījuma parametri atbilst AD FS konfigurēt iestatījumus.

Pieprasījuma parametru

AD FS konfigurēt iestatījumus

client_id

$client.ClientId

redirect_uri

@client_RedirectUri prefiksu atbilstība

Parametrs "resursu" vajadzētu būt spēkā paļaujoties puse AD FS. Iegūstiet paļaujoties puses informāciju, izpildot kādu no šīm komandām.

  • Ja izmantojat parasto paļaujoties puses, izpildiet šādu komandu:
    Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"

  • Izmantojot līdzekli programmu grupas Windows Server 2016, izpildiet šādu komandu:
    Get-AdfsWebApiApplication "ValueOfTheResourceParameter"

WS-Fed pieprasījumi

WS-Fed pieprasījuma izskatās šādi:

https://fs.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

Pārbaudiet, ja pieprasījuma parametri atbilst AD FS konfigurēt iestatījumus:

Pieprasījuma parametru

AD FS konfigurēt iestatījumus

wtrealm

$rp.Identifier

wreply

Prefiksu vai aizstājējzīmes atbilstība, $rp. WSFedEndpoint

SAML pieprasījumi

SAML pieprasījuma izskatās šādi:

https://sts.contoso.com/adfs/ls/?SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-sha1&Signature=Signature

SAMLRequest parametra vērtība dekodēt, izmantojot opciju "No DeflatedSAML" Fiddler teksta vednī. Dekodēt vērtību izskatās šādi:

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z" Destination="https://TestClaimProvider-Samlp-Only/adfs/ls" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /></samlp:AuthnRequest>

Veikt šādas pārbaudes laikā dekodēt vērtība:

  • Pārbaudīt, ja resursdatora nosaukumu mērķa vērtības atbilst resursdatora AD FS.

  • Pārbaude, vai izdevējs vērtība atbilst$rp.Identifier.

Papildu piezīmes SAML

  • $rp. SamlEndpoints: Parāda visa veida SAML galapunktu. Atbilde no AD FS tiek nosūtīts uz atbilstošo URL konfigurēt galapunktu. SAML galapunkts var izmantot novirzīšana, ziņu vai artefaktu saistījumus ziņojuma nosūtīšanai. Šie URL var konfigurēt AD FS.

  • $rp. SignedSamlRequestsRequired: Ja tiek iestatīta vērtība, SAML pieprasījumu nosūtīt parakstītu paļaujoties pušu vajadzībām. "SigAlg" un "Paraksts" parametri ir atrodami pieprasījumu.

  • $rp. RequestSigningCertificate: Tā parakstīšanas sertifikātu izmanto, lai ģenerētu parakstu SAML pieprasījumu. Pārliecinieties, vai sertifikāts ir derīgs un lūdziet lietojumprogrammu īpašnieks atbilstoši sertifikātu.

Šī problēma ir atrisināta?

Ja$rp.EncryptClaimsatgriež "Iespējots" uzticamā puse šifrēšana ir iespējota. AD FS šifrēšanas sertifikātu izmanto, lai šifrētu prasības. Veiciet šādas pārbaudes:

  • $rp. EncryptionCertificate: Izmantojiet šo komandu, lai saņemtu sertifikātu un pārbaudiet, vai tas ir derīgs.

  • $rp. EncryptionCertificateRevocationCheck: Izmantojiet šo komandu, lai pārbaudītu, vai sertifikātu atsaukšanas atbilst pārbaudiet prasības.

Šī problēma ir atrisināta?

Ja sertifikāts neatbilstības, pārliecinieties, ka partneriem izmantojot jaunu sertifikātu. Federācijas metadatu publicētās AD FS servera sertifikāti ir iekļauti.

Piezīme. Skatiet partneru visiem jūsu resursu organizācijas vai konta organizācijas partneriem AD FS pārstāv paļaujoties pušu uzticamība un prasības sniedzēja uzticamība.

Partneri var piekļūt Federācijas metadati

Ja partneri var piekļūt Federācijas metadatus, lūgt partneri izmantot jaunu sertifikātu.

Partneri nevar piekļūt Federācijas metadati

Šādā gadījumā jums manuāli jānosūta partneru publiskās atslēgas jaunu sertifikātu. Lai to izdarītu, izpildiet tālāk norādītās darbības.

  1. Publiskās atslēgas eksportēšana kā .cert faili vai P7B failus, kas jāiekļauj visa sertifikātu ķēdes.

  2. Publiskās atslēgas nosūta partneri.

  3. Jautājiet partneri izmantot jaunu sertifikātu.

Šī problēma ir atrisināta?

  1. Atveriet AD FS pārvaldības konsoli.

  2. Ar peles labo pogu noklikšķiniet uz paļaujoties pušu uzticamība, un pēc tam noklikšķiniet uz Rekvizīti.

  3. Cilnē papildu atlasiet algoritmu, lai atbilstu piemērošanai.
    Relying party trust-Hash algorithm

Šī problēma ir atrisināta ?

  1. AD FS serverī dump izdošanas pārveidot kārtulas, palaižot šādu komandu:
    (Get-AdfsRelyingPartyTrust -Name RPName).IssuanceTransformRules

  2. Atrodiet kārtulu problēmas NameIdentifier prasība. Ja šāds nosacījums nav pieejams, izlaidiet šo darbību.
    Šeit ir piemērs kārtulas:

    c:[Type == "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

    Paziņojums par NameIdentifier formātā šo sintaksi:
    Properties["Property-type-URI"] = "ValueURI"

    Tālāk uzskaitīti iespējamie formātos. Pēc noklusējuma tiek pirmo formātā.

    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifie.

    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  3. Lūgt lietojumprogrammu īpašnieks pieprasa lietojumprogrammu NameIdentifier formātā.

  4. Pārbaudiet, vai ja NameIdentifier formāti atbilst.

  5. Ja neatbilst šiem formātiem, konfigurējiet NameIdentifier prasība izmantot formātā, kas nepieciešama. Lai to izdarītu, izpildiet tālāk norādītās darbības.

    1. Atveriet AD FS pārvaldības konsoli.

    2. Noklikšķiniet uz Uzticamā puse uzticas, atlasiet atbilstošo Federācijas partneris un pēc tam noklikšķiniet uz Rediģēt prasības izdošanas politika rūtī darbības .

    3. Pievienot jaunu kārtulu, ja nav NameIdentifier prasību problēma vai atjaunināt esošu kārtulu noteikums. Atlasiet Nosaukumu IDIenākošā pieprasīt tipaun pēc tam norādiet formātā, kas nepieciešama.
      Configure claim rule

Šī problēma ir atrisināta?

Piezīme: Fiddler var izmantot arī, lai novērstu šo problēmu. Ideja ir tāds pats.

Dump pilnvaru ziņas noder, ja atkļūdošanas problēmas integrācijas pakalpojumu, kā arī pārbaudot pielāgotas prasību noteikumi. Nav Oficiālais risinājumu, bet labi neatkarīgas atkļūdošanas risinājumu ieteicams problēmu novēršanas nolūkā. Lai izmantotu Dump pilnvaru lietojumprogrammu, rīkojieties šādi:

  1. Iestatīt Dump pilnvaru ziņas, izpildot šādas darbības:
    $authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"https://dumptoken.azurewebsites.net/default.aspx"
    $samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
    Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

  2. Kopēt bojāto paļaujoties puses konfigurācija, kopēšanas izdošanas noteikumi paļaujoties puses un DumpToken. Lai to paveiktu, izpildiet šādu komandu:
    Set-ADFSRelyingPartyTrust -TargetName "urn:dumptoken" -IssuanceTransformRules (Get-ADFSRelyingPartyTrust -Name <”your_SrcRP_Name”>).IssuanceTransformRules

  3. Atveriet kādu no šīm saitēm autentifikācijas politika tiek iestatīts atkarībā no lietotājam ir.

    • WS-Fed:https://<Ferderation Instance>/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML:https://<Ferderation Instance>/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Spēkā vairāku faktoru autentificēšana:https://<Ferderation Instance>/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  4. Iegūt prasības ir lietotāja autentifikācijas lapā pieteikties.

  5. Šajā Dump pilnvaru izvadi, izvērsiet sadaļu pilnvaru neapstrādātu XML un pēc tam skatiet paziņojumu par atribūtu, pārbaudot šīm virknēm redzēt, ja tie atbilstu, kas ir konfigurēts prasības izdošanas politika :

    • saml:NameIdentifier: tiek parādīta NameIdentifier formātā.

    • saml:AttributeStatement: tiek parādīta katra prasību ierakstiet vērtību pāri pilnvara.

    • saml:AuthenticationStatement: tiek parādīta autentifikācijas tūlītējā un autentifikācijas metodes.

Šī problēma ir atrisināta?

Izmantot IdpInititatedSignOn lapu, lai pārliecinātos, vai ja AD FS pakalpojums ir izveidota un darbojas un autentifikācijas funkcionalitāte darbojas pareizi. Lai atvērtu IdpInitiatedSignOn lapu, rīkojieties šādi:

  1. Iespējot IdpInitiatedSignOn lapu AD FS serverī, palaižot šādu komandu:
    Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. Datorā, kurā ir iekļauta jūsu tīklā, apmeklējiet šo lapu:
    https://FederationInstance/adfs/ls/idpinitiatedsignon.aspx

  3. Pierakstīšanās lapā ievadiet pareizo derīgu lietotāja akreditācijas datus.

Ir automātiskās pierakstīšanās veiksmīga?

Lai novērstu šo problēmu, pārbaudiet šādus komponentus un pakalpojumu.

Piekļūstot AD FS jānorāda tieši pie AD FS serveriem vai slodzes līdzsvarotāja pirms AD FS serveriem. Veiciet šādas pārbaudes:

  • Ping Federācijas pakalpojuma nosaukums (piemēram, fs.contoso.com). Ja IP adrese, kura jums norāda uz vienu AD FS serveri vai AD FS serveriem slodzes līdzsvarotāja apstiprināt.

  • Pārbaudīt, vai ir ieraksts integrācijas pakalpojumu DNS serverī. Ieraksts ir jānorāda kādam AD FS serveri vai slodzes līdzsvarotāja AD FS serveri.

Šī problēma ir atrisināta?

  • Pārbaudīt, ja ugunsmūris bloķē trafiku starp:

    • AD FS serveri un slodzes līdzsvarotāja.

    • WAP (tīmekļa lietojumprogrammas starpniekserveris) servera un slodzes līdzsvarotāja lietojot WAP.

  • Aktivizējot zonde līdzsvarotāja, veiciet šādas darbības:

    • , Ja datorā darbojas sistēma Windows Server 2012 R2, kas nodrošina Augusta 2014 atjauninājumu apkopojums instalētā.

    • Ja WAP serveriem un AD FS serveros ugunsmūris ir iespējots ports 80 pārbaude

    • Nodrošina, ka zonde ir iestatīts 80 portu un galapunkta/adfs/izmēģinājuma.

Šī problēma ir atrisināta?

  1. AD FS serverī Atveriet servera pārvaldnieku.

  2. Servera pārvaldnieks, noklikšķiniet uz Rīki > pakalpojumi.

  3. Pārbaudiet, vai ir statusaActive Directory Federācijas pakalpojumsdarbojas.

Šī problēma ir atrisināta?

AD FS nodrošina dažādas galapunktu dažādas funkcijas un scenāriji. Pēc noklusējuma ir iespējoti visi galapunktu. Lai pārbaudītu galapunktu, rīkojieties šādi:

  1. AD FS serverī atvērt AD FS pārvaldības konsoli.

  2. Izvērsiet pakalpojumu > galapunktu.

  3. Atrodiet galapunktu un pārbaudiet, vai ja statuss ir iespējoti kolonnā iespējots .
    ADFS Endpoints status

Šī problēma ir atrisināta?

Ieteicams izmantot Azure AD savienojumu, kas atvieglos SSL sertifikātu pārvaldība.

Azure AD savienojumu instalētā vide?

Ja ir instalēta Azure AD savienojumu, pārliecinieties, ka to izmantot, lai pārvaldītu un atjauninātu SSL sertifikāti.

Šī problēma ir atrisināta?

SSL sertifikāts ir jāatbilst šādām prasībām:

  • Sertifikāts ir no uzticama saknes sertificēšanas iestāde.
    AD FS nepieciešams SSL sertifikāti tiktu no uzticama saknes sertificēšanas iestāde. Ja AD FS var piekļūt no AV domēns pievienojās datorus, ieteicams izmantot SSL sertifikāts no uzticamas trešās puses saknes sertificēšanas iestādes kā DigiCert VeriSign utt. Ja SSL sertifikāts nav no uzticama saknes sertificēšanas iestāde var pārtraukt SSL saziņu.

  • Sertifikāta tēmas nosaukums ir derīgs.
    Tēmas nosaukums ir jāatbilst Federācijas pakalpojuma nosaukums, nevis AD FS servera nosaukumu vai kādu citu nosaukumu. Iegūt Federācijas pakalpojuma nosaukums, primārais AD FS serverī, izpildiet šādu komandu:
    Get-AdfsProperties | select hostname

  • Sertifikāts nav atsaukts.
    Sertifikātu atsaukšanas pārbaude Ja sertifikāts ir atsaukts SSL savienojumu nav uzticams un tiks bloķēti klienti.

SSL sertifikāts neatbilst šīs prasības

Atrisināt problēmu, iegūstiet kvalifikācijas sertifikāts SSL saziņas.

Ir problēma atrisināta pēc kvalifikācijas SSL sertifikāts

Pārbaudiet šādas konfigurācijas SSL sertifikāts.

SSL sertifikāts ir jāinstalē personas krātuvē katrā fermas serverī Federācijas lokālajā datorā. Veiciet dubultklikšķi uz sertifikāta instalēšanas. Sertifikātu un izpildiet vedņa PFX fails.

Lai pārbaudītu, vai sertifikāts ir instalēts uz pareizo vietu, rīkojieties šādi:

  1. Sertifikātus, kas atrodas lokālā datora personisko krātuvi, palaižot komandu saraksts:
    dir Cert:\LocalMachine\My

  2. Pārbaudiet, vai sertifikāts ir sarakstā.

Šī problēma ir atrisināta?

Iegūt sertifikātu, kas tiek izmantots SSL saziņas īssavilkums un pārbaudiet, vai īssavilkums atbilst paredzētais sertifikāta īssavilkums.

Iegūt sertifikātu, kas tiek izmantots īssavilkums, Windows PowerShell palaidiet šādu komandu:

Get-AdfsSslCertificate

Sertifikāta nepareizi lietojot, iestatiet pareizo sertifikātu, palaižot šādu komandu:

Set-AdfsSslCertificate –Thumbprint CorrectThumprint

Šī problēma ir atrisināta?

SSL sertifikāts ir jānosaka kā pakalpojumu saziņas sertifikātu AD FS fermā. Tas nenotiek automātiski. Lai pārbaudītu, vai tiek iestatīts pareizs sertifikātā, rīkojieties šādi:

  1. AD FS pārvaldības konsole, izvērsiet pakalpojumu > sertifikāti.

  2. Pārbaudiet, vai ja sertifikātu sarakstā sakaru pakalpojumu paredzētais sertifikāts.

Ja ir norādīts nepareizs sertifikāts, iestatiet pareizo sertifikātu un pēc tam piešķirt AD FS pakalpojumu sertifikāta lasīšanas atļauja. Lai to izdarītu, izpildiet tālāk norādītās darbības.

  1. Iestatiet pareizo sertifikātu:

    1. Ar peles labo pogu noklikšķiniet uz sertifikātiun pēc tam noklikšķiniet uz Iestatīt pakalpojumu saziņas sertifikātu.

    2. Atlasiet pareizo sertifikātu.

  2. Pārbaudiet, vai ja AD FS pakalpojums ir lasīšanas atļauja sertifikātu:

    1. Lokālā datora kontam sertifikātu papildprogrammu pievienotu Microsoft pārvaldības konsoles (MMC).

    2. Izvērsiet sertifikāti (lokālā datora) > personas > sertifikāti.

    3. Ar peles labo pogu noklikšķiniet uz SSL sertifikāts, noklikšķiniet uz Visi uzdevumi > Pārvaldīt privāto atslēgu.

    4. Pārbaudiet, vai ja grupu nosaukumi ir uzskaitīti adfssrv ar lasīšanas atļauja.

  3. Ja nav norādīts adfssrv, piešķirt AD FS pakalpojumu sertifikāta lasīšanas atļauja:

    1. Noklikšķiniet uz pievienojumprogrammas, atrašanās vietas, serveris un pēc tam noklikšķiniet uz Labi.

    2. Lodziņā Ievadiet atlasāmo objektu nosaukumus, ievadiet nt service\adfssrvPārbaudīt vārdusun pēc tam noklikšķiniet uz Labi.
      Ja izmantojat AD FS ierīces reģistrācijas pakalpojumu (DRS), ievadiet nt service\drs .

    3. Piešķirta lasīšanas atļauja, un pēc tam noklikšķiniet uz Labi.

Šī problēma ir atrisināta?

Ir konfigurēta DRS AD FS?

Ja esat konfigurējis AD FS ar DRS, pārliecinieties, ka SSL sertifikāts ir arī pareizi konfigurēta RDS. Piemēram, ja ir divi UPN sufiksus contoso.com un fabrikam.com, sertifikātu jābūt enterpriseregistration.contoso.com un enterpriseregistration.fabrikma.com kā alternatīva tēmu nosaukumi (SAN).

Lai pārbaudītu, vai SSL sertifikāts ir pareiza SANs, rīkojieties šādi:

  1. Saraksts visas UPN sufiksus izmanto savas organizācijas, palaižot šādu komandu:
    Get-AdfsDeviceRegistratrionUpnSuffix

  2. Pārbaudiet, vai SSL sertifikāts ir nepieciešams SANs konfigurēta.

SSL sertifikāts nav pareizi DRS nosaukumus, SANs?

Lai atrisinātu šo problēmu, iegūstiet jaunu SSL sertifikāts ir pareiza SANs DRS un pēc tam izmantojiet to kā SSL sertifikāts AD FS.

Šī problēma ir atrisināta?

Pārbaudīt, ja pareizo SSL sertifikāts ir iestatīts WAP serveros

  1. Pārliecinieties, vai SSL sertifikāts ir instalēts lokālā datora serverī katram WAP personas krātuvē.

  2. Saņemiet SSL sertifikāts izmanto WAP, palaižot šādu komandu:
    Get-WebApplicationProxySslCertificate

  3. Ja SSL sertifikāts ir nepareizi, iestatiet pareizu SSL sertifikāts, palaižot šādu komandu:
    Set-WebApplicationProxySslCertificate -Thumbprint Thumbprint

Pārbaudiet sertifikāta saites un tās atjaunināt, ja nepieciešams

Atbalsta-SNI gadījumos, administratori var noteikt atkāpšanās saites. Papildus standarta federationservicename:443 saistošus, meklējiet atkāpšanās saites zem šādas lietojumprogrammas ID:

  • {5d89a20c-beab-4389-9447-324788eb944a}
    Tas ir AD FS lietojumprogrammas ID.

  • {f955c070-e044-456c-ac00-e9e4275b3f04}
    Tas ir lietojumprogrammas ID tīmekļa lietojumprogrammas starpniekserveris.

Piemēram, ja SSL sertifikāts nav norādīts alternatīvs saistīšana kā 0.0.0.0:443, pārliecinieties, vai, saistījums ir atjauninot atbilstoši SSL sertifikāts tiek atjaunināts.

Šī problēma ir atrisināta?

  1. AD FS serverī Atveriet servera pārvaldnieku.

  2. Servera pārvaldnieks, noklikšķiniet uz Rīki > pakalpojumi.

  3. Pārbaudiet, vai ir statusaActive Directory Federācijas pakalpojumsdarbojas.

Šī problēma ir atrisināta?

Izmantojiet IdpInititatedSignOn lapu, lai ātri pārbaudiet, vai ja AD FS pakalpojums ir ieslēgts un darbojas un autentifikācijas funkcionalitāte darbojas pareizi. Lai atvērtu IdpInitiatedSignOn lapu, rīkojieties šādi:

  1. Iespējot IdpInitiatedSignOn lapu AD FS serverī, palaižot šādu komandu:
    Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. Datorā, kurā nav saistīts ar tīklu, apmeklējiet šo lapu:
    https://FederationInstance/adfs/ls/idpinitiatedsignon.aspx

  3. Pierakstīšanās lapā ievadiet pareizo derīgu lietotāja akreditācijas datus.

Ir automātiskās pierakstīšanās veiksmīga?

Lai novērstu šo problēmu, pārbaudiet šādus komponentus un pakalpojumu.

Piekļūstot AD FS jānorāda tieši pie WAP (tīmekļa lietojumprogrammas starpniekserveris) serveriem vai slodzes līdzsvarotāja pirms WAP serveriem. Veiciet šādas pārbaudes:

  • Ping Federācijas pakalpojuma nosaukums (piemēram, fs.contoso.com). Apstipriniet vai Ping norāda uz IP adrese ir vienas vai WAP serveriem slodzes līdzsvarotāja WAP serveriem.

  • Pārbaudīt, vai ir ieraksts integrācijas pakalpojumu DNS serverī. Ieraksts ir jānorāda kādu WAP servera vai WAP serveriem slodzes līdzsvarotāja.

Ja WAP nav iekļauta jūsu situāciju ārējās piekļuves pārbaudiet jaccessing AD FS norāda tieši uz AD FS serveriem vai pirms AD FS serveriem slodzes līdzsvarotāja:

  • Ping Federācijas pakalpojuma nosaukums (piemēram, fs.contoso.com). Ja IP adrese, kura jums norāda uz vienu AD FS serveri vai AD FS serveriem slodzes līdzsvarotāja apstiprināt.

  • Pārbaudiet, vai ir ieraksts integrācijas pakalpojumu DNS serverī. Ieraksts ir jānorāda kādam AD FS serveri vai slodzes līdzsvarotāja AD FS serveri.

Šī problēma ir atrisināta?

  • Pārbaudīt, ja ugunsmūris bloķē trafiku starp:

    • AD FS serveri un slodzes līdzsvarotāja.

    • WAP (tīmekļa lietojumprogrammas starpniekserveris) servera un slodzes līdzsvarotāja lietojot WAP.

  • Aktivizējot zonde līdzsvarotāja, pārbaudiet:

    • , Ja datorā darbojas sistēma Windows Server 2012 R2, kas nodrošina Augusta 2014 atjauninājumu apkopojums instalētā.

    • Pārbaudiet, ja WAP servera un serveru AD FS ugunsmūris ir iespējots portu 80.

    • Nodrošina šī zonde ir iestatīts 80 portu un galapunkta /adfs/probe.

Šī problēma ir atrisināta?

  1. Ja ir iespējots ienākošā trafika caur TCP portu 443 pārbaudīt:

    • tviņš ugunsmūra tīmekļa lietojumprogrammas starpniekserveris un serveru fermas Federācijas.

    • starp klientu un tīmekļa lietojumprogrammas starpniekservera ugunsmūri.

  2. Pārbaudiet, ja ienākošā trafika caur TCP portu 49443 ir iespējots ugunsmūris starp klientu un tīmekļa lietojumprogrammas starpniekserveris, ja ir spēkā kāds no šiem nosacījumiem:

    • TLS, izmantojot x. 509 sertifikātu klienta autentifikācijai ir iespējota.

    • Jūs izmantojat AD FS Windows Server 2012 R2.

      Piezīme. Par ugunsmūra tīmekļa lietojumprogrammas starpniekserveris un Federācijas serveru konfigurācija nav nepieciešama.

Šī problēma ir atrisināta?

 

Šī problēma ir atrisināta?

AD FS nodrošina dažādas galapunktu dažādas funkcijas un scenāriji. Pēc noklusējuma ir iespējoti visi galapunktu. Lai pārbaudītu, vai galapunkts ir iespējota starpniekserveri, rīkojieties šādi:

  1. AD FS serverī atvērt AD FS pārvaldības konsoli.

  2. Izvērsiet pakalpojumu > galapunktu.

  3. Atrodiet galapunktu un pārbaudiet, vai ja ir iespējota statusa Starpniekservera iespējota kolonnu.
    ADFS endpoints proxy status

 

Šī problēma ir atrisināta?

Piezīme. Šajā lapā informācija attiecas uz AD FS 2012 R2 un jaunākām versijām.

Izvietošanas tīmekļa lietojumprogrammas starpniekserveris (WAP), ja jānosaka starpniekservera uzticamības relācija starp WAP servera un AD FS serveri. Pārbaudiet starpniekservera uzticamības relācija tiek izveidots vai startēšanas laikā neizdodas brīdī.

Pamatinformācija

Starpniekservera uzticamības relācija ir klienta sertifikāts. Palaižot Web lietojumprogrammas starpniekserveris pēc instalēšanas vedni, vednis izveido pašparakstīts klienta sertifikātu, izmantojot akreditācijas datus, kuru norādījāt vednī. Pēc tam vednis sertifikātu ievieto AD FS konfigurācijas datu bāzes un pievieno AdfsTrustedDevices sertifikātu krātuvē AD FS serverī.

Visas SSL saziņas http. sys izmanto SSL sertifikāts saistījumus prioritātes secībā atbilstoši sertifikātu:

Prioritāte

vārds

Parametri

Apraksts

1.

IP

IP:port

Precīzu IP un ports atbilstība

2.

SNI

Hostname:port

Precīzu resursdatora spēles (savienojuma jānorāda SNI)

3.

CCS

Ports

Izsaukt centrālā sertifikātu krātuvē

4.

Aizstājējzīmju IPv6

Ports

IPv6 aizstājējzīmju atbilstības (savienojumam jābūt IPv6)

5.

Aizstājējzīmju IP

Ports

Aizstājējzīmju atbilstības IP (savienojums var būt IPv4 vai IPv6)

AD FS 2012 R2 un vēlāk neatkarīgi no interneta informācijas pakalpojumi (IIS) un darbojas kā pakalpojums uz http. sys. AD FS izmanto hostname:port SSL sertifikāts saites. Klienta sertifikāta autentifikācija laikā AD FS nosūta sertifikātu uzticamības saraksts (CTL), pamatojoties uz sertifikātu krātuvē AdfsTrustedDevices. SSL sertifikāts saistīšana AD FS Server izmanto IP:port vai CTL veikals nav AdfsTrustedDevices, starpniekservera uzticamības relācija nav reģistrēts.

Iegūstiet AD FS saistījumus SSL sertifikāts

AD FS serverī Windows PowerShell, izpildiet šādu komandu:
netsh http show sslcert

Saistījumu atgriezts sarakstā meklējiet ar 5d89a20c beab-4389-9447 324788eb944a lietojumprogrammas ID. Šeit ir piemērs veseli saistīšana. Ņemiet vērā navigatorā daļas.

Hostname:port : adfs.contoso.com:443
Certificate Hash : 3638de9b03a488341dfe32fc3ae5c480ee687793
Application ID : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : AdfsTrustedDevices
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled

Problēmu novēršana

Automātiski noteikt starpniekservera uzticamības relācija problēmas, palaidiet šo skriptu. Pamatojoties uz noteiktas problēmas, rīkoties atbilstoši lappuses beigās.

param

(

  [switch]$syncproxytrustcerts

)

function checkhttpsyscertbindings()

{

Write-Host; Write-Host("1 – Checking http.sys certificate bindings for potential issues")

$httpsslcertoutput = netsh http show sslcert

$adfsservicefqdn = (Get-AdfsProperties).HostName

$i = 1

$certbindingissuedetected = $false

While($i -lt $httpsslcertoutput.count)

{

        $ipport = $false

        $hostnameport = $false

        if ( ( $httpsslcertoutput[$i] -match "IP:port" ) ) { $ipport = $true }

        elseif ( ( $httpsslcertoutput[$i] -match "Hostname:port" ) ) { $hostnameport = $true }

        # Check for IP specific certificate bindings

        if ( ( $ipport -eq $true ) )

        {

            $httpsslcertoutput[$i]

            $ipbindingparsed = $httpsslcertoutput[$i].split(":")

            if ( ( $ipbindingparsed[2].trim() -ne "0.0.0.0" ) -and ( $ipbindingparsed[3].trim() -eq "443") )

            {

                $warning = "There is an IP specific binding on IP " + $ipbindingparsed[2].trim() + " which may conflict with the AD FS port 443 cert binding." | Write-Warning

                $certbindingissuedetected = $true

            }

            $i = $i + 14

            continue

        }

        # check that CTL Store is set for ADFS service binding

        elseif ( $hostnameport -eq $true )

        {

            $httpsslcertoutput[$i]

            $ipbindingparsed = $httpsslcertoutput[$i].split(":")

            If ( ( $ipbindingparsed[2].trim() -eq $adfsservicefqdn ) -and ( $ipbindingparsed[3].trim() -eq "443") -and ( $httpsslcertoutput[$i+10].split(":")[1].trim() -ne "AdfsTrustedDevices" ) )

            {

                Write-Warning "ADFS Service binding does not have CTL Store Name set to AdfsTrustedDevices"

                $certbindingissuedetected = $true

            }

        $i = $i + 14

        continue

        }

    $i++

}

If ( $certbindingissuedetected -eq $false ) { Write-Host "Check Passed: No certificate binding issues detected" }

}

function checkadfstrusteddevicesstore()

{

# check for CA issued (non-self signed) certs in the AdfsTrustedDevices cert store

Write-Host; Write-Host "2 – Checking AdfsTrustedDevices cert store for non-self signed certificates"

$certlist = Get-Childitem cert:\LocalMachine\AdfsTrustedDevices -recurse | Where-Object {$_.Issuer -ne $_.Subject}

If ( $certlist.count -gt 0 )

{

    Write-Warning "The following non-self signed certificates are present in the AdfsTrustedDevices store and should be removed"

    $certlist | Format-List Subject

}

Else { Write-Host "Check Passed: No non-self signed certs present in AdfsTrustedDevices cert store" }

}

function checkproxytrustcerts

{

    Param ([bool]$repair=$false)

    Write-Host; Write-Host("3 – Checking AdfsTrustedDevices cert store is in sync with ADFS Proxy Trust config")

    $doc = new-object Xml

    $doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")

    $connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString

    $command = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"

    $cli = new-object System.Data.SqlClient.SqlConnection

    $cli.ConnectionString = $connString

    $cmd = new-object System.Data.SqlClient.SqlCommand

    $cmd.CommandText = $command

    $cmd.Connection = $cli

    $cli.Open()

    $configString = $cmd.ExecuteScalar()

    $configXml = new-object XML

    $configXml.LoadXml($configString)

    $rawCerts = $configXml.ServiceSettingsData.SecurityTokenService.ProxyTrustConfiguration._subjectNameIndex.KeyValueOfstringArrayOfX509Certificate29zVOn6VQ.Value.X509Certificate2

    #$ctl = dir cert:\LocalMachine\ADFSTrustedDevices

    $store = new-object System.Security.Cryptography.X509Certificates.X509Store("ADFSTrustedDevices","LocalMachine")

    $store.open("MaxAllowed")

    $atLeastOneMismatch = $false

    $badCerts = @()

    foreach($rawCert in $rawCerts)

    {   

        $rawCertBytes = [System.Convert]::FromBase64String($rawCert.RawData.'#text')

        $cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(,$rawCertBytes)

        $now = Get-Date

        if ( ($cert.NotBefore -lt $now) -and ($cert.NotAfter -gt $now))

        {

            $certThumbprint = $cert.Thumbprint

         $certSubject = $cert.Subject

         $ctlMatch = dir cert:\localmachine\ADFSTrustedDevices\$certThumbprint -ErrorAction SilentlyContinue

         if ($ctlMatch -eq $null)

         {

       $atLeastOneMismatch = $true

          Write-Warning "This cert is NOT in the CTL: $certThumbprint – $certSubject"

       if ($repair -eq $true)

       {

        write-Warning "Attempting to repair"

        $store.Add($cert)

        Write-Warning "Repair successful"

       }

                else

                {

                    Write-Warning ("Please install KB.2964735 or re-run script with -syncproxytrustcerts switch to add missing Proxy Trust certs to AdfsTrustedDevices cert store")

                }

         }

        }

    }

    $store.Close()

    if ($atLeastOneMismatch -eq $false)

    {

     Write-Host("Check Passed: No mismatched certs found. CTL is in sync with DB content")

    }

}

checkhttpsyscertbindings

checkadfstrusteddevicesstore

checkproxytrustcerts($syncproxytrustcerts)

Write-Host; Write-Host("All checks completed.")

Kas ir noteicis problēmu?

IP:port saistīšana augstākā prioritāte. Ja IP:port saistīšana AD FS SSL sertifikāts saistījumus, http. sys vienmēr izmanto sertifikātu SSL saziņas saistīšana. Lai atrisinātu šo problēmu, izmantojiet šādas metodes.

1. metode: Noņemt IP:port saistīšana

Ņemiet vērā, ka IP:port saistīšana var būt atpakaļ pēc tam, kad esat noņēmis to. Piemēram, var automātiski atkārtoti konfigurēt, izmantojot šo IP:port saistošu lietojumprogrammu uz nākamo pakalpojuma startēšanas.

2. metode: AD FS SSL saziņai izmanto citu IP adresi

Ja IP:port piesaisti, atrisināt pakalpojumu ADFS FQDN citu IP adresi, kas neizmanto visas saites. Tādējādi, http. sys izmanto Hostname:port saistīšana SSL saziņas.

3. metode: Set AdfsTrustedDevices kā CTL veikalu IP:port saistīšana

Tā pēdējo līdzekli, ja nevarat izmantot minētās metodes. Taču labāk izprast šādi apstākļi pirms maināt noklusējuma krātuves CTL AdfsTrustedDevices:

  • Kāpēc IP:port saistījums ir.

  • Ja saistījums ir atkarīga no noklusējuma CTL glabāt sertifikātu klienta autentifikācijai.

Šī problēma ir atrisināta?

Ja ir instalēta Azure AD savienojumu, izmantojiet AAD savienojumu CTL veikala nosaukumu un AdfsTrustedDevices noteikt SSL sertifikāts saistījumus AD FS serveros. Ja nav instalēta Azure AD savienojumu, ģenerēt AD FS sertifikātu saistījumus, palaižot komandu AD FS serveros.
Set-AdfsSslCertificate -Thumbprint Thumbprint

Šī problēma ir atrisināta?

Ja sertifikātu izsniegusi sertificēšanas iestāde sertifikātu krātuvē, kur parasti pastāv tikai pašparakstīts sertifikāti, ģenerēts no krātuves CTL tikai faktiski CA sertifikātu izsniegusi. AdfsTrustedDevices sertifikātu krātuvē ir veikalu, kas ir paredzēts tikai pašparakstīts sertifikātu. Šie sertifikāti ir:

  • DV organizācijas piekļuve: Pašparakstīts sertifikāts izmanto savienojuma sertifikātu izdošanas vietā.

  • ADFS starpniekservera Trust: Sertifikāti katrai tīmekļa lietojumprogrammas starpniekserveris.

AdfsTrustedDevices certificates

Tāpēc visas izdeva CA sertifikātu dzēšana AdfsTrustedDevices sertifikātu krātuvē.

Šī problēma ir atrisināta?

Ja starpniekservera uzticamības relācija ir reģistrēts ar AD FS serveri, klienta sertifikāts tiek ierakstīts AD FS konfigurācijas datu bāzi un pievienot AdfsTrustedDevices AD FS servera sertifikātu krātuvē. AD FS fermas izvietošanai klienta sertifikāts ir paredzēts sinhronizētas ar citiem AD FS serveriem. Ja sinhronizēšana nenotiek kāda iemesla dēļ, starpniekservera uzticamības relācija darbosies tikai trust tika izveidota ar AD FS serverim, bet ne pret citām AD FS serveriem.

Lai atrisinātu šo problēmu, izmantojiet kādu no šīm metodēm.

1. metode

Instalējiet atjauninājumu dokumentētas KB 2964735 AD FS serveros. Pēc atjauninājuma instalēšanas sinhronizācijas klienta sertifikāts ir paredzēts notiek automātiski.

2. metode

Palaidiet skriptu syncproxytrustcerts slēdzis manuāli sinhronizēt klienta sertifikātu no konfigurācijas datu bāzes AD FS AdfsTrustedDevices sertifikātu krātuvē. AD FS serveru fermas ieteicams palaist skriptu.

Ņemiet vērā, ka tas nav pastāvīgs risinājums, jo regulāri tiks atjaunota klienta sertifikātu.

Šī problēma ir atrisināta?

Pārbaudiet, vai ir laiks un laika josla nesaderību. Laiks atbilst laika joslas nav, izņemot, ja starpniekservera uzticamības relācija neizdodas izveidot.

Šī problēma ir atrisināta?

Ja SSL izbeigšana notiek starp AD FS serveriem un WAP servera tīkla ierīcē, AD FS un WAP saziņa pārtraukt tāpēc, ka sakari ir atkarīgs no klienta sertifikāts.

Atspējojiet SSL pārtraukšanas tīkla ierīces starp AD FS un WAP serveriem.

Šī problēma ir atrisināta?

Pārbaudiet Windows integrētās autentifikācijas iestatījumus klienta pārlūkprogrammā, AD FS iestatījumus un autentifikācijas pieprasījuma parametrus.

Pārbaudiet lietotāja klienta pārlūkprogramma

Pārbaudiet interneta opcijas šādus iestatījumus:

  • Cilnē papildu pārliecinieties, vai ir iespējots iestatījums Ļauj integrētā Windows autentifikācija .

  • Pēc drošības > lokālā iekštīkla > vietas > papildu, pārliecinieties, vai ir AD FS URL vietņu sarakstā.

  • Šo drošības > lokālā iekštīkla > Pielāgots līmenis, pārliecinieties, vai ir atlasīts iestatījums Automātiska pieteikšanās tikai iekštīkla zonā .

Ja izmantojat Firefox, Chrome vai Safari, pārliecinieties, vai ir iespējotas līdzvērtīgiem šīs pārlūkprogrammas iestatījumus.

Pārbaudiet iestatījumus AD FS

Pārbaudiet WindowsIntegratedFallback iestatījumu

  1. Atveriet Windows PowerShell palaist kā administratoram opciju.

  2. Saņemiet globālā autentifikācijas politika, palaižot šādu komandu:
    Get-ADFSGlobalAuthenticationPolicy

  3. Pārbaudiet WindowsIntegratedFallbackEnbaled atribūta vērtību.

Ja vērtība ir True, autentifikāciju, kuras pamatā tiek izmantotas veidlapas ir paredzēts. Tas nozīmē, ka autentifikācijas pieprasījumu rodas pārlūku, kas neatbalsta integrētā Windows autentifikācija. Skatiet nākamo sadaļu, kā iegūt pārlūkprogrammas atbalsta.

Ja vērtība ir False, integrētā Windows autentifikācija ir paredzēts.

Pārbaudiet WIASupportedUsersAgents iestatījumu

  1. Saņemiet atbalstītu lietotāja aģentu saraksts, palaižot šādu komandu:
    Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  2. Pārbaudiet lietotāja aģenta virknēm, kas atgriež komandu sarakstu.

Pārbaudiet, vai lietotāja aģenta virkne jūsu pārlūkprogrammā nav sarakstā. Ja nav, pievienojiet lietotāja aģenta virkne, veiciet tālāk norādītās darbības:

  1. Dodieties uz http://useragentstring.com/ , kas nosaka un parāda pārlūkprogrammas lietotāja aģenta virkne.

  2. Saņemiet atbalstītu lietotāja aģentu saraksts, palaižot šādu komandu:
    $wiaStrings = Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  3. Pievienojiet lietotāja aģenta virkne pārlūkprogrammas, palaižot šādu komandu:
    $wiaStrings = $wiaStrings+"NewUAString"
    Piemērs:$wiaStrings = $wiaStrings+" =~Windows\s*NT.*Edge"+"Mozilla/5.0"

  4. Atjaunināt WIASupportedUserAgents iestatījumu, palaižot šādu komandu:
    Set-ADFSProperties -WIASupportedUserAgents $wiaStrings

Pārbaudiet parametrus pieprasījumu autentifikācija

Pārbaudiet, ja autentifikācijas pieprasījumu norāda autentifikāciju, kuras pamatā tiek izmantotas veidlapas, autentifikācijas metode

  1. Ja autentifikācijas pieprasījumu WS Federācijas pieprasījumu, pārbaudiet, vai pieprasījums ir wauth = urn: oāze: nosaukumi: satura rādītāja: SAML:1.0:am:password.

  2. Ja autentifikācijas pieprasījumu SAML pieprasījumu, pārbaudiet, vai pieprasījums ietver samlp:AuthnContextClassRef elements ar vērtību urn: oāze: nosaukumi: satura rādītāja: SAML:2.0:ac:classes:Password.

Lai iegūtu papildinformāciju, skatiet pārskats autentifikācijas apdarinātāji AD FS pierakstīšanās lapas.

Pārbaudiet, vai lietojumprogramma ir Microsoft Online Services Office 365

Ja programmu, kurai vēlaties piekļūt Microsoft tiešsaistes pakalpojumus, kas rodas domā un kontrolē ienākošo pieprasījumu autentifikācija . Darbu ar programmu īpašnieku mainīt darbību.

Ja lietojumprogramma Microsoft tiešsaistes pakalpojumus, kas rodas var kontrolēt ar PromptLoginBehavior uzticama apzīmējumu objekta iestatījumu. Šis iestatījums kontrolē vai nosūtīt piedāvāt nomniekiem Azure AD = AD FS pieteikties. Lai iestatītu PromptLoginBehavior iestatījumuveiciet šādas darbības:

  1. Atveriet Windows PowerShell ar opciju "Palaist kā administratoram".

  2. Saņemiet esošo domēna Federācijas iestatījumu, palaižot šādu komandu:
    Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

  3. Iestatiet PromptLoginBehavior, palaižot šādu komandu:
    Set-MSOLDomainFederationSettings -DomainName DomainName -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled> -SupportsMFA <$TRUE|$FALSE> -PreferredAuthenticationProtocol <WsFed|SAMLP>

    PromptLoginBehavior parametru vērtības ir šādas:

    1. TranslateToFreshPasswordAuth: Azure AD nosūta wauth un wfresh nevis uzvednes AD FS = pieteikšanās. Tas rada autentifikācijas pieprasījumu izmantot autentifikāciju, kuras pamatā tiek izmantotas veidlapas.

    2. NativeSupport: parametru uzvednes = pieteikšanās tiek nosūtīta kā AD FS.

    3. Atspējots: nekas tiek nosūtīta AD FS.

Papildinformāciju par komandu Set MSOLDomainFederationSettings skatiet Active Directory Federācijas pakalpojumi piedāvā = pieteikšanās parametru atbalsta.

Šī problēma ir atrisināta?

Vairāku faktoru autentifikācija var iespējot AD FS serverī, paļaujoties pusi, vai norādītais autentifikācijas pieprasījumu parametru. Pārbaudiet konfigurāciju, lai redzētu, ja tie ir pareizi iestatīts. Ja vairāku faktoru autentifikācijas paredzams, bet're atkārtoti jāievada, pārbaudiet paļaujoties personu izdošanas kārtulas, lai apskatītu, ja vairāku faktoru autentifikācijas pieprasījumi tiek izlaisti caur programmu.

Lai iegūtu papildinformāciju par vairāku faktoru autentifikācijas AD FS, skatiet šajos rakstos:

Pārbaudiet konfigurāciju AD FS serverī un paļaujoties puse

Pārbaudīt AD FS servera konfigurāciju, apstiprināt globālā autentifikācijas papildu noteikumus. Pārbaudīt konfigurācijas paļaujoties pusei, apstiprināt papildu autentifikācijas noteikumus paļaujoties pušu uzticamība.

  1. Lai pārbaudītu AD FS servera konfigurāciju, izpildiet šādu komandu logā Windows PowerShell.
    Get-ADFSAdditionalAuthenticationRule

    Pārbaudīt konfigurācijas paļaujoties pusei, izpildiet šādu komandu:
    Get-ADFSRelyingPartyTrust -TargetName RelyingParty | Select -ExpandProperty AdditionalAuthenticationRules

    Piezīme. Komandas atgriezties nekas, ja nav konfigurēti papildu autentifikācijas noteikumiem. Izlaidiet šo sadaļu.

  2. Novērot pieprasītās informācijas kārtulai, kas konfigurēta.

Pārbaudiet, vai ja vairāku faktoru autentifikācija ir iespējota prasību kārtulu kopas

Prasību noteikumu kopu veido nākamajās sadaļās:

  • Stāvokļa pārskats:C:[Type=…,Value=…]

  • Problēmu pārskats:=> issue (Type=…,Value=…)

Ja šī prasība ir paziņojumu par problēmu, ir norādīta vairāku faktoru autentifikācijas.
Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn"

Lūk, kurai nepieciešama autentifikācija jāizmanto-darba pievienojās ierīcēm un ārējās piekļuves attiecīgi vairāku faktoru piemēri:

  • c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn")

  • c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn")

Pārbaudiet paļaujoties personu izdošanas noteikumi

Ja atkārtoti lietotājs saņem vairāku faktoru autentifikācijas pieprasījumi pēc tās veiktu pirmo autentifikāciju, ir iespējams, atbildēšana puses netiek cauri vairāku faktoru autentifikācijas pieprasījumu programmu. Lai pārbaudītu, vai autentifikācijas pieprasījumi tiek izlaisti caur, rīkojieties šādi:

  1. Windows PowerShell, izpildiet šādu komandu:
    Get-ADFSRelyingPartyTrust -TargetName ClaimApp

  2. Ievērot noteikumu kopas noteikts IssuanceAuthorizationRules vai IssuanceAuthorizationRulesFile atribūtus.

Noteikumu kopa ir jāietver šādu noteikumu izdošanas cauri vairāku faktoru autentifikācijas pieprasījumu:
C:[Type==http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod, Value==” http://schemas.microsoft.com/claims/multipleauthn”]=>issue(claim = c)

Pārbaudīt autentifikācijas pieprasījuma parametrs

Pārbaudiet, vai ja autentifikācijas pieprasījumu norāda vairāku faktoru autentifikācijas autentifikācijas metodi

  • Ja autentifikācijas pieprasījumu WS Federācijas pieprasījumu, pārbaudiet, vai pieprasījums ir wauth = http://schemas.microsoft.com/claims/multipleauthn.

  • Ja autentifikācijas pieprasījumu SAML pieprasījumu, pārbaudiet, vai pieprasījums ietver samlp:AuthnContextClassRef elements ar vērtību http://schemas.microsoft.com/claims/multipleauthn.

Lai iegūtu papildinformāciju, skatiet pārskats autentifikācijas apdarinātāji AD FS pierakstīšanās lapas.

Pārbaudiet, vai lietojumprogramma ir Microsoft Online Services Office 365

Ja programmu, kurai vēlaties piekļūt Office 365 Microsoft tiešsaistes pakalpojumus, pārbaudiet SupportsMFA domēna Federācijas iestatījumu.

  1. Iegūt pašreizējo SupportsMFA domēna Federācijas iestatījumu, palaižot šādu komandu:
    Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

  2. SupportsMFA iestatījums ir FALSE, iestatiet to uz TRUE, palaižot šādu komandu:
    Set-MSOLDomainFederationSettings -DomainName DomainName -SupportsMFA $TRUE

Šī problēma ir atrisināta?

Atspējojiet pieteikšanās iespējas piedāvāt = palaižot šādu komandu:
Set-MsolDomainFederationSettings –DomainName DomainName -PromptLoginBehavior Disabled

Pēc šīs komandas izpildes, Office 365 lietojumprogrammas nevar iekļaut parametru uzvednes = pieteikšanās katru pieprasījumu autentifikācija.

Šī problēma ir atrisināta?

Modificēt pieprasījumu parametru izmantošanai paredzēto autentifikācijas metodi.

Šī problēma ir atrisināta?

Ja SSO ir atspējota, to iespējot.

Šī problēma ir atrisināta?

Apsveicu! SSO problēma ir atrisināta.

Mēs atvainojamies, ka problēma joprojām pastāv. Labprāt saņemsim to aizpildot aptauju ar informāciju par jūsu problēmu.

Ko dara šī rokasgrāmata

Atrisina vienotā pierakstīšanās (SSO) problēmas ar Active Directory Federācijas pakalpojums (AD FS).

Kas tas ir?

Administratori, kas palīdz diagnosticēt problēmas SSO lietotājiem.

Kā darbojas?

Mēs sāksim pieprasot lietotājiem radušos problēmu. Tad mēs jums palīdz vairākas problēmu novēršanas darbības, kas attiecas uz jūsu situāciju.

Paredzamais izpildes laiks:

30-45 minūtēs.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Paplašiniet savas prasmes

Iepazīties ar apmācību >

Esiet pirmais, kas saņem jaunās iespējas

PIEVIENOTIES MICROSOFT 365 INSIDERS >

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×