Um usuário federado é solicitado repetidamente para obter credenciais durante a entrada no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Importante

Este artigo contém informações que mostram como ajudar a reduzir as configurações de segurança ou como desativar recursos de segurança em um computador. Você pode fazer essas alterações para contornar um problema específico. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados à implementação dessa solução alternativa em seu ambiente específico. Se você implementar essa solução alternativa, siga as etapas adicionais apropriadas para ajudar a proteger o computador.

Problema

Um usuário federado é solicitado repetidamente para obter credenciais quando o usuário tenta se autenticar no ponto de extremidade do serviço Serviços de Federação do Active Directory (AD FS) (AD FS) durante a entrada em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune. Quando o usuário cancela, o usuário recebe a mensagem de erro Acesso Negado .

Motivo

O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Esse problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:

  • Um nome de usuário ou senha incorreto foi usado.

  • As configurações de autenticação do IIS (Serviços de Informações da Internet) são configuradas incorretamente no AD FS.

  • O SPN (nome da entidade de serviço) associado à conta de serviço usada para executar o farm de servidores de federação do AD FS está perdido ou corrompido.

    Observação

    Isso ocorre somente quando o AD FS é implementado como um farm de servidores de federação e não é implementado em uma configuração autônoma.

  • Um ou mais dos seguintes são identificados pela Proteção Estendida para Autenticação como uma fonte de um ataque homem-no-meio:

    • Alguns navegadores de Internet de terceiros
    • O firewall de rede corporativa, o balanceador de carga de rede ou outro dispositivo de rede está publicando o Serviço de Federação do AD FS na Internet de forma que os dados de carga de IP possam potencialmente ser reescritos. Isso possivelmente inclui os seguintes tipos de dados:

      • Ponte SSL (Secure Sockets Layer)

      • Descarregamento de SSL

      • Filtragem de pacote com estado

        Para obter mais informações, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

        2510193 cenários com suporte para usar o AD FS para configurar o logon único no Microsoft 365, Azure ou Intune

    • Um aplicativo de descriptografia de monitoramento ou SSL está instalado ou está ativo no computador cliente

  • A resolução DNS (Sistema de Nomes de Domínio) do ponto de extremidade do serviço do AD FS foi executada por meio da pesquisa de registro CNAME em vez de por meio de uma pesquisa de registro A.

  • O Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor AD FS.

Antes de começar a solucionar problemas

Verifique se o nome de usuário e a senha não são a causa do problema.

  • Verifique se o nome de usuário correto é usado e está no formato UPN (nome da entidade de usuário). Por exemplo, johnsmith@contoso.com.

  • Verifique se a senha correta é usada. Para marcar que a senha correta seja usada, talvez seja necessário redefinir a senha do usuário. Para obter mais informações, confira o seguinte artigo do Microsoft TechNet:

    Redefinir uma senha de usuário

  • Verifique se a conta não está bloqueada, expirou ou usada fora das horas de logon designadas. Para obter mais informações, confira o seguinte artigo do Microsoft TechNet: Gerenciando usuários

Verificar a causa

Para marcar que os problemas do Kerberos estão causando o problema, ignore temporariamente a autenticação kerberos habilitando a autenticação baseada em formulários no farm de servidores de federação do AD FS. Para fazer isso, siga estas etapas:

Etapa 1: Editar o arquivo web.config em cada servidor no farm de servidores de federação do AD FS

  1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e faça uma cópia de backup do arquivo web.config.

  2. Clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do mouse em Bloco de Notas e clique em Executar como administrador.

  3. No menu Arquivo , clique em Abrir. Na caixa Nome do Arquivo , digite C:\inetpub\adfs\ls\web.config e clique em Abrir.

  4. No arquivo web.config, siga estas etapas:

    1. Localize a linha que contém <o modo> de autenticação e altere-a para <o modo de autenticação="Forms"/>.

    2. Localize a seção que começa com <localAuthenticationTypes> e altere a seção para que a < entrada adicionar name="Forms"> seja listada primeiro, da seguinte maneira:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. No menu Arquivo, clique em Salvar.

  6. Em um prompt de comando elevado, reinicie o IIS usando o iisresetcommand.

Etapa 2: Testar a funcionalidade do AD FS

  1. Em um computador cliente conectado e autenticado ao ambiente local do AD DS, entre no portal do serviço de nuvem.

    Em vez de uma experiência de autenticação perfeita, um logon baseado em formulários deve ser experimentado. Se a entrada for bem-sucedida usando a autenticação baseada em formulários, isso confirmará que existe um problema com Kerberos no Serviço de Federação do AD FS.

  2. Reverta a configuração de cada servidor no farm de servidores de federação do AD FS para as configurações de autenticação anteriores antes de seguir as etapas na seção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de federação do AD FS, siga estas etapas:

    1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e exclua o arquivo web.config.
    2. Mova o backup do arquivo web.config que você criou na seção "Etapa 1: Editar o arquivo web.config em cada servidor no farm de servidores de federação do AD FS" para a pasta C:\inetpub\adfs\ls\.

  3. Em um prompt de comando elevado, reinicie o IIS usando o iisresetcommand.

  4. Verifique se o comportamento de autenticação do AD FS reverte para o problema original.

Solução

Para resolve o problema Kerberos que limita a autenticação do AD FS, use um ou mais dos métodos a seguir, conforme apropriado para a situação.

Resolução 1: redefinir as configurações de autenticação do AD FS para os valores padrão

Se as configurações de autenticação do IIS do AD FS estiverem incorretas ou as configurações de autenticação do IIS para Serviços de Federação e Serviços proxy do AD FS não corresponderem, uma solução será redefinir todas as configurações de autenticação do IIS para as configurações padrão do AD FS.

As configurações de autenticação padrão estão listadas na tabela a seguir.

Aplicativo virtual Nível de autenticação
Site/adfs padrão Autenticação anônima
Site/adfs/ls padrão Autenticação anônima, autenticação do Windows

Em cada servidor de federação do AD FS e em cada proxy de servidor de federação do AD FS, use as informações no seguinte artigo do Microsoft TechNet para redefinir os aplicativos virtuais do AD FS IIS para as configurações de autenticação padrão:

Configurando a Autenticação no IIS 7

Resolução 2: corrigir o SPN do servidor de federação do AD FS

Observação

Experimente essa resolução somente quando o AD FS for implementado como um farm de servidores de federação. Não tente essa resolução em uma configuração autônoma do AD FS.

Para resolve o problema se o SPN do serviço AD FS for perdido ou corrompido na conta de serviço do AD FS, siga estas etapas em um servidor no farm de servidores de federação do AD FS:

  1. Abra o snap-in de gerenciamento de serviços. Para fazer isso, clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas e clique em Serviços.

  2. Clique duas vezes no Serviço Windows do AD FS (2.0).

  3. Na guia Log On , observe a conta de serviço exibida nesta conta.

  4. Clique em Iniciar, Todos os Programas, Acessórios, clique o botão direito no Prompt de comando, e depois clique em Executar como administrador.

  5. Digite o seguinte comando e pressione Enter:

    SetSPN –f –q host/<AD FS service name>

    Observação

    Neste comando, <o nome> do serviço do AD FS representa o nome de serviço FQDN (nome de domínio totalmente qualificado) do ponto de extremidade de serviço do AD FS. Ele não representa o nome do host do Windows do servidor AD FS.

    • Se mais de uma entrada for retornada para o comando e o resultado estiver associado a uma conta de usuário diferente da que foi anotada na etapa 3, remova essa associação. Para fazer isso, execute o seguinte comando:

      SetSPN –d host/<AD FS service name><bad_username>

    • Se mais de uma entrada for retornada para o comando e o SPN usar o mesmo nome do nome do computador do servidor AD FS no Windows, o nome do ponto de extremidade de federação para AD FS estará incorreto. O AD FS precisa ser implementado novamente. O FQDN do farm de servidores de federação do AD FS não deve ser idêntico ao nome do host do Windows de um servidor existente.

    • Se o SPN ainda não existir, execute o seguinte comando:

      SetSPN –a host/<AD FS service name><username of service account>

      Observação

      Neste comando, <o nome de usuário da conta> de serviço representa o nome de usuário que foi observado na etapa 3.

  6. Depois que essas etapas forem executadas em todos os servidores no farm de servidores de federação do AD FS, clique com o botão direito do mouse em AD FS (2.0) Serviço Windows no snap-in de gerenciamento de serviços e clique em Reiniciar.

Resolução 3: resolver preocupações de proteção estendida para autenticação

Para resolve o problema se a Proteção Estendida para Autenticação impedir a autenticação bem-sucedida, use um dos seguintes métodos recomendados:

  • Método 1: use o Windows Internet Explorer 8 (ou uma versão posterior do programa) para entrar.
  • Método 2: publicar serviços do AD FS na Internet de forma que a ponte SSL, o descarregamento de SSL ou a filtragem de pacotes com estado não reescrevam os dados de carga de IP. A recomendação de prática recomendada para essa finalidade é usar um Servidor proxy do AD FS.
  • Método 3: fechar ou desabilitar aplicativos de monitoramento ou descriptografação de SSL.

Se você não puder usar nenhum desses métodos, para resolver esse problema, a Proteção Estendida para Autenticação poderá ser desabilitada para clientes passivos e ativos.

Solução alternativa: desabilitar proteção estendida para autenticação

Aviso

Não recomendamos que você use esse procedimento como uma solução de longo prazo. Desabilitar a Proteção Estendida para Autenticação enfraquece o perfil de segurança do serviço do AD FS ao não detectar certos ataques de homem no meio em pontos de extremidade integrados de Autenticação do Windows.

Observação

Quando essa solução alternativa é aplicada à funcionalidade de aplicativo de terceiros, você também deve desinstalar os hotfixes no sistema operacional cliente para Proteção Estendida para Autenticação.

Para clientes passivos

Para desabilitar a Proteção Estendida para Autenticação para clientes passivos, execute o seguinte procedimento para os seguintes aplicativos virtuais IIS em todos os servidores no farm de servidores de federação do AD FS:

  • Site/adfs padrão
  • Site/adfs/ls padrão

Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS e navegue até o nível que você deseja gerenciar. Para obter informações sobre como abrir o IIS Manager, consulte Open IIS Manager (IIS 7).
  2. No Modo de Exibição de Recursos, clique duas vezes em Autenticação.
  3. Na página Autenticação, selecione Autenticação do Windows.
  4. No painel Ações , clique em Configurações Avançadas.
  5. Quando a caixa de diálogo Configurações Avançadas for exibida, selecione Desativar no menu suspenso Proteção Estendida .

Para clientes ativos

Para desabilitar a Proteção Estendida para Autenticação para clientes ativos, execute o seguinte procedimento no servidor AD FS primário:

  1. Abra o PowerShell do Windows.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Execute o seguinte comando para desabilitar a Proteção Estendida para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Habilitar novamente a Proteção Estendida para Autenticação

Para clientes passivos

Para habilitar novamente a Proteção Estendida para Autenticação para clientes passivos, execute o seguinte procedimento para os seguintes aplicativos virtuais IIS em todos os servidores no farm de servidores de federação do AD FS:

  • Site/adfs padrão
  • Site/adfs/ls padrão

Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS e navegue até o nível que você deseja gerenciar. Para obter informações sobre como abrir o IIS Manager, consulte Open IIS Manager (IIS 7).
  2. No Modo de Exibição de Recursos, clique duas vezes em Autenticação.
  3. Na página Autenticação, selecione Autenticação do Windows.
  4. No painel Ações , clique em Configurações Avançadas.
  5. Quando a caixa de diálogo Configurações Avançadas for exibida, selecione Aceitar no menu suspenso Proteção Estendida .

Para clientes ativos

Para habilitar novamente a Proteção Estendida para Autenticação para clientes ativos, execute o seguinte procedimento no servidor AD FS primário:

  1. Abra o PowerShell do Windows.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Execute o seguinte comando para habilitar a Proteção Estendida para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Resolução 4: substituir registros CNAME por registros A para AD FS

Use ferramentas de gerenciamento DNS para substituir cada registro de Alias DNS (CNAME) usado para o serviço de federação por um registro de endereço DNS (A). Além disso, marcar ou considere as configurações de DNS corporativas quando uma configuração DNS de cérebro dividido é implementada. Para obter mais informações sobre como gerenciar registros DNS, consulte Gerenciando registros DNS.

Resolução 5: configurar o Explorer da Internet como um cliente do AD FS para SSO (logon único)

Para obter mais informações sobre como configurar o Explorer da Internet para acesso ao AD FS, consulte Um usuário federado é solicitado inesperadamente a inserir credenciais de conta corporativa ou escolar.

Mais informações

Para ajudar a proteger uma rede, o AD FS usa a Proteção Estendida para Autenticação. A Proteção Estendida para Autenticação pode ajudar a evitar ataques de homem no meio nos quais um invasor intercepta as credenciais de um cliente e as encaminha para um servidor. A proteção contra esses ataques é possível usando o CBT (Channel Binding Works). A TCC pode ser necessária, permitida ou não exigida pelo servidor quando as comunicações são estabelecidas com clientes.

A configuração extendedProtectionTokenCheck AD FS especifica o nível de proteção estendida para autenticação compatível com o servidor de federação. Estes são os valores disponíveis para esta configuração:

  • Exigir: o servidor está totalmente endurecido. A proteção estendida é imposta.
  • Permitir: essa é a configuração padrão. O servidor é parcialmente endurecido. A proteção estendida é imposta para sistemas envolvidos que são alterados para dar suporte a esse recurso.
  • Nenhum: o servidor está vulnerável. A proteção estendida não é imposta.

As tabelas a seguir descrevem como a autenticação opera para três sistemas operacionais e navegadores, dependendo das diferentes opções de Proteção Estendida que estão disponíveis no AD FS com o IIS.

Observação

Os sistemas operacionais cliente Windows devem ter atualizações específicas instaladas para usar efetivamente recursos de Proteção Estendida. Por padrão, os recursos estão habilitados no AD FS.

Por padrão, o Windows 7 inclui os binários apropriados para usar a Proteção Estendida.

Windows 7 (ou versões apropriadamente atualizadas do Windows Vista ou do Windows XP)

Setting Exigir Permitir (o padrão) Nenhum
Cliente WCF (Windows Communication Foundation) (Todos os pontos de extremidade) Funciona Funciona Funciona
Internet Explorer 8 e versões posteriores Funciona Funciona Funciona
Firefox 3.6 Falhar Falhar Funciona
Safari 4.0.4 Falhar Falhar Funciona

Windows Vista sem atualizações apropriadas

Setting Exigir Permitir (o padrão) Nenhum
Cliente WCF (Todos os pontos de extremidade) Falhar Funciona Funciona
Internet Explorer 8 e versões posteriores Funciona Funciona Funciona
Firefox 3.6 Falhar Funciona Funciona
Safari 4.0.4 Falhar Funciona Funciona

Windows XP sem atualizações apropriadas

Setting Exigir Permitir (o padrão) Nenhum
Internet Explorer 8 e versões posteriores Funciona Funciona Funciona
Firefox 3.6 Falhar Funciona Funciona
Safari 4.0.4 Falhar Funciona Funciona

Para obter mais informações sobre a Proteção Estendida para Autenticação, confira o seguinte recurso da Microsoft:

Configurando opções avançadas para o AD FS 2.0

Para obter mais informações sobre o cmdlet Set-ADFSProperties, acesse o seguinte site da Microsoft:

Set-ADFSProperties

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.