O AD FS ignora o parâmetro "prompt = logon" durante a autenticação do Windows Server 2012 R2

Aplica-se a: Windows Server 2012 R2 StandardWindows Server 2012 R2 DatacenterWindows Server 2012 R2 Essentials

Sumário


Depois que você instalar a atualização de julho 2016 em KB 3172614 , a autenticação falha se você usar uma autenticação de senha não (como placas PIV) em um servidor do provedor de identidade (IdP) e a solicitação contém o parâmetro prompt com login como o valor.

Causa


Esse problema ocorre porque o comportamento de Federação prompt padrão é converter o parâmetro prompt = login para wauth = wfresh & senha = 0 durante a federação.

Sobre a correção


Serviços de Federação do Active Directory (AD FS) agora suporta as seguintes opções para controlar como o parâmetro prompt = login deve ser tratado durante uma reunião. Essas opções podem ser definidas globalmente para todos os servidores agrupados por usando o Conjunto ADFSProperties cmdlet. Eles podem ser exibidos usando o get-ADFSProperties cmdlet.

  • Nenhum. Não agrupe a solicitação prompt = login e erro em vez disso.
  • FallbackToProtocolSpecificParameters (Padrão). Traduzir o prompt = login para wfresh = 0 e Wauth = formulários durante uma reunião. Se "wauth" existe no pedido original, que será preservada.


    O valor de "wauth" padrão pode ser substituído pelo uso do parâmetro PromptLoginFallbackAuthenticationType . Por exemplo, o comando a seguir converte o prompt = login para wfresh = 0 e wauth = urn: ietf:rfc:2246 durante uma federação.

    Conjunto AdfsProperties - PromptLoginFederation FallbackToProtocolSpecificParameters - PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246

  • ForwardPromptAndHintsOverWsFederation. Encaminhe o parâmetro prompt , como durante uma reunião.
  • Desativado. Descarte o parâmetro prompt da solicitação durante uma reunião.

A seguir estão exemplos do cmdlet set-ADFSProperties :

  • Conjunto AdfsProperties - PromptLoginFederation None
  • Conjunto AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Como obter essa atualização


Para adicionar a nova opção, instale a atualização de outubro de 2017 4041685.
 

Pré-requisitos:

Para instalar essa atualização, você deve ter o Windows Server 2012 R2 instalado.
 
 

Informações do registro:

Para aplicar essa atualização, você não precisa fazer alterações no registro.
 
 

Requisitos de reinicialização:

Você deve reiniciar o computador após instalar essa atualização.
 
 

Informações de substituição da atualização

Esta atualização não substitui uma atualização lançada previamente.
 

Status


A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Referências


Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.