Sprawdź ustawienia zintegrowanego uwierzytelniania systemu Windows w przeglądarce klienta, ustawienia programu AD FS i parametrów żądania uwierzytelniania.

Sprawdź przeglądarkę klienta użytkownika

Sprawdź następujące ustawienia w oknie Opcje internetowe:

  • Na karcie Zaawansowane , upewnij się, że włączono ustawienie Włącz zintegrowane uwierzytelnianie systemu Windows .

  • w następstwie zabezpieczeń > Lokalny intranet > witryny > Zaawansowane, upewnij się, że adres URL usługi AD FS jest na liście witryn sieci Web.

  • Następujące zabezpieczeń > lokalny intranet > Poziom niestandardowy, upewnij się, że wybrano ustawienie Zaloguj automatycznie tylko w strefie intranetu .

Jeśli używasz przeglądarki Firefox, Chrome lub Safari, upewnij się, że są włączone ustawienia równoważne w tych przeglądarkach.

Sprawdź ustawienia programu AD FS

Sprawdź ustawienie WindowsIntegratedFallback

  1. Otwórz środowiska Windows PowerShell z Uruchom jako administrator opcji.

  2. Globalne zasady uwierzytelniania można uzyskać, uruchamiając następujące polecenie:
    Get-ADFSGlobalAuthenticationPolicy

  3. Sprawdź wartość atrybutu WindowsIntegratedFallbackEnbaled.

Jeśli ma wartość True, uwierzytelnianie oparte na formularzach jest oczekiwany. Oznacza to, że żądanie uwierzytelnienia pochodzi z przeglądarki, która nie obsługuje zintegrowane uwierzytelnianie systemu Windows. Zobacz następną sekcję o otrzymywaniu obsługiwane przeglądarki.

Jeśli wartością jest False, należy się spodziewać zintegrowanego uwierzytelniania systemu Windows.

Sprawdź ustawienie WIASupportedUsersAgents

  1. Uzyskać listy agentów użytkownika obsługiwane, uruchamiając następujące polecenie:
    Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  2. Sprawdź listę ciągów agenta użytkownika, które polecenie jest zwracane.

Sprawdź, czy ciąg agenta użytkownika przeglądarki jest na liście. Jeśli tak nie jest, dodać ciąg agenta użytkownika, wykonując poniższe kroki:

  1. Przejdź do http://useragentstring.com/ , który wykrywa i pokazuje ciąg agenta użytkownika przeglądarki.

  2. Uzyskać listy agentów użytkownika obsługiwane, uruchamiając następujące polecenie:
    $wiaStrings = Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  3. Dodać ciąg agenta użytkownika przeglądarki, uruchamiając następujące polecenie:
    $wiaStrings = $wiaStrings+"NewUAString"
    Przykład:$wiaStrings = $wiaStrings+" =~Windows\s*NT.*Edge"+"Mozilla/5.0"

  4. Aktualizacja ustawienie WIASupportedUserAgents, uruchamiając następujące polecenie:
    Set-ADFSProperties -WIASupportedUserAgents $wiaStrings

Sprawdź parametry żądania uwierzytelniania

Sprawdź, jeśli żądania uwierzytelniania określa uwierzytelnianie oparte na formularzach jako metodę uwierzytelniania

  1. Jeśli żądanie uwierzytelnienia jest żądania WS-Federation, sprawdź, czy żądanie zawiera wauth = urn: oasis: nazwy: tc: SAML:1.0:am:password.

  2. Jeśli żądanie uwierzytelnienia jest żądanie SAML, sprawdź, czy żądanie zawiera samlp:AuthnContextClassRef element z wartości urn: oasis: nazwy: tc: SAML:2.0:ac:classes:Password.

Aby uzyskać więcej informacji zobacz Omówienie obsługi uwierzytelniania programu AD FS Logowanie do strony.

Sprawdź, czy aplikacja jest Microsoft Online Services dla usługi Office 365

Jeżeli aplikacji, w której chcesz uzyskać dostęp, nie jest usługi Online firmy Microsoft, co doświadczenie oczekuje i kontrolowane przez przychodzące żądanie uwierzytelnienia . Praca z właścicielem aplikacji Aby zmienić zachowanie.

Jeśli aplikacja usługi Online firmy Microsoft, co doświadczenie może być kontrolowane przez PromptLoginBehavior ustawienie z zaufanego obszaru obiektu. To ustawienie kontroluje czy najemców Azure AD wysłać prompt = logowanie do programu AD FS. Aby ustawić Ustawienie PromptLoginBehavior wykonaj następujące kroki:

  1. Otwórz środowisko Windows PowerShell za pomocą opcji "Uruchom jako administrator".

  2. Istniejące ustawienie Federacji domeny można uzyskać, uruchamiając następujące polecenie:
    Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

  3. Ustawienie PromptLoginBehavior, uruchamiając następujące polecenie:
    Set-MSOLDomainFederationSettings -DomainName DomainName -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled> -SupportsMFA <$TRUE|$FALSE> -PreferredAuthenticationProtocol <WsFed|SAMLP>

    Dostępne są następujące wartości parametru PromptLoginBehavior:

    1. TranslateToFreshPasswordAuth: Azure AD wysyła do programu AD FS zamiast wiersza wauth i wfresh = logowania. Prowadzi to do żądanie uwierzytelnienia do korzystania z uwierzytelniania opartego na formularzach.

    2. NativeSupport: parametr = monitu logowania jest wysyłana jest do programu AD FS.

    3. Wyłączone: nic nie są wysyłane do programu AD FS.

Aby uzyskać więcej informacji na temat polecenia Set-MSOLDomainFederationSettings, zobacz Monituj Active Directory Federation Services = Obsługa logowania parametru.

Ten problem został rozwiązany?

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności

Poznaj szkolenia >

Uzyskuj nowe funkcje w pierwszej kolejności

Dołącz do niejawnych testerów firmy Microsoft >

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×