Erro "Houve um problema ao acessar o site" do AD FS quando um usuário federado entra no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problema

Quando um usuário federado tenta entrar em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune, o usuário recebe a seguinte mensagem de erro do Serviços de Federação do Active Directory (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Quando esse erro ocorre, a barra de endereços do navegador da Web aponta para o ponto de extremidade do AD FS local em um endereço que se assemelha ao seguinte:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Motivo

Esse problema pode ocorrer por um dos seguintes motivos:

  • A instalação do SSO (logon único) por meio do AD FS não foi concluída.
  • O certificado de assinatura de token do AD FS expirou.
  • As declarações de política de acesso ao cliente do AD FS são configuradas incorretamente.
  • A confiança da parte confiável com Microsoft Entra ID está ausente ou está configurada incorretamente.
  • O servidor proxy de federação do AD FS é configurado incorretamente ou exposto incorretamente.
  • A conta IUSR do AD FS não tem a permissão de usuário "Representar um cliente após a autenticação".

Solução

Para resolve esse problema, use o método apropriado para sua situação.

Cenário 1: o certificado de assinatura de token do AD FS expirou

Verifique se o certificado de assinatura de token expirou

Para marcar se o certificado de assinatura de token expirou, siga estas etapas:

  1. Clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas e clique em Gerenciamento do AD FS (2.0).
  2. No console de gerenciamento do AD FS, clique em Serviço, clique em Certificados e examine as datas efetivas e de expiração do certificado de assinatura de token do AD FS.

Se o certificado tiver expirado, ele precisará ser renovado para restaurar a funcionalidade de autenticação do SSO.

Renovar o certificado de assinatura de token (se tiver expirado)

Para renovar o certificado de assinatura de token no servidor AD FS primário usando um certificado autoassinado, siga estas etapas:

  1. No mesmo console de gerenciamento do AD FS, clique em Serviço, clique em Certificados e, em **Certificações **no painel Ações, clique em Adicionar Token-Signing Certificado.
  2. Se um aviso "Certificados não puder ser modificado enquanto o recurso de rolagem de certificado automático do AD FS estiver habilitado" for exibido, vá para a etapa 3. Caso contrário, marcar o certificado Datas efetivas e de expiração. Se o certificado for renovado com êxito, você não precisará executar as etapas 3 e 4.
  3. Se o certificado não for renovado, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique na pasta Windows PowerShell, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador.
  4. No prompt de comando Windows PowerShell, insira os comandos a seguir. Pressione Enter depois de inserir cada comando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Para renovar o certificado de assinatura de token no servidor AD FS primário usando um certificado assinado pela autoridade de certificação (AC), siga estas etapas:

  1. Crie o arquivo WebServerTemplate.inf. Para fazer isso, siga estas etapas:

    1. Inicie o Bloco de Notas e abra um novo documento em branco.

    2. Cole o seguinte no arquivo:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. No arquivo, altere subject="CN=adfs.contoso.com" para o seguinte:

      subject="CN=your-federation-service-name"

    4. No menu Arquivo, clique em Salvar Como.

    5. Na caixa de diálogo Salvar Como , clique em Todos os Arquivos (.) ** na caixa Salvar como tipo .

    6. Digite WebServerTemplate.inf na caixa Nome do arquivo e clique em Salvar.

  2. Copie o arquivo WebServerTemplate.inf para um dos servidores da Federação do AD FS.

  3. No servidor do AD FS, abra uma janela Prompt de Comando Administrativo.

  4. Use o comando cd(change directory) para alterar para o diretório em que você copiou o arquivo .inf.

  5. Digite o comando a seguir e pressione Enter.

    CertReq.exe -New WebServerTemplate.inf AdfsSSSL.req

  6. Envie o arquivo de saída, AdfsSSSL.req, para sua AC para assinatura.

  7. A AC retornará uma parte de chave pública assinada em um formato .p7b ou .cer. Copie esse arquivo para o servidor do AD FS em que você gerou a solicitação.

  8. No servidor do AD FS, abra uma janela Prompt de Comando Administrativo.

  9. Use o comando cd(change directory) para alterar para o diretório em que você copiou o arquivo .p7b ou .cer.

  10. Digite o comando a seguir e pressione Enter.

    CertReq.exe -Aceitar "file-from-your-CA-p7b-or-cer"

Concluir a restauração da funcionalidade do SSO

Independentemente de um certificado autoassinado ou assinado pela AC ser usado, você deve concluir a restauração da funcionalidade de autenticação do SSO. Para fazer isso, siga estas etapas:

  1. Adicione acesso de leitura à chave privada para a conta de serviço do AD FS no servidor AD FS primário. Para fazer isso, siga estas etapas:
    1. Clique em Iniciar, clique em Executar, digite mmc.exe e pressione Enter.
    2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
    3. Clique duas vezes em Certificados, selecione Conta de computador e clique em Avançar.
    4. Selecione Computador local, clique em Concluir e clique em OK.
    5. Expanda Certificados (Computador Local), expanda Pessoal e clique em Certificados.
    6. Clique com o botão direito do mouse no novo certificado de assinatura de token, aponte para Todas as Tarefas e clique em Gerenciar Chaves Privadas.
    7. Adicione acesso de leitura à conta de serviço do AD FS e clique em OK.
    8. Saia do snap-in Certificados.
  2. Atualize a impressão digital do novo certificado e a data da confiança da parte confiável com Microsoft Entra ID. Para fazer isso, confira a seção "Como atualizar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar as configurações de um domínio federado no Microsoft 365, Azure ou Intune.
  3. Recriar a configuração de confiança de proxy do AD FS. Para fazer isso, siga estas etapas:
    1. Reinicie o Serviço Windows do AD FS no servidor AD FS primário.
    2. Aguarde 10 minutos para que o certificado seja replicado para todos os membros do farm de servidores de federação e reinicie o Serviço Windows do AD FS no restante dos servidores do AD FS.
    3. Execute novamente o Assistente de Configuração de Proxy em cada servidor proxy do AD FS. Para obter mais informações, consulte Configurar um computador para a função de proxy do servidor de federação.

Cenário 2: você atualizou recentemente a política de acesso ao cliente por meio de declarações e agora a entrada não funciona

Verifique se a política de acesso ao cliente foi aplicada corretamente. Para obter mais informações, confira Limitando o acesso aos serviços do Microsoft 365 com base na localização do cliente.

Cenário 3: O ponto de extremidade de metadados de federação ou a confiança da parte confiável podem estar desabilitados

Habilite o ponto de extremidade de metadados de federação e a confiança da parte confiável com Microsoft Entra ID no servidor AD FS primário. Para fazer isso, siga estas etapas:

  1. Abra o Console de Gerenciamento do AD FS 2.0.
  2. Verifique se o ponto de extremidade de metadados de federação está habilitado. Para fazer isso, siga estas etapas:
    1. No painel de navegação esquerdo, navegue até AD FS (2.0), Serviço, Pontos de Extremidade.
    2. No painel central, clique com o botão direito do mouse na entrada /Metadados de Federação/2007-06/FederationMetadata.xml e clique para selecionar Habilitar e Habilitar no Proxy.
  3. Verifique se a confiança da parte confiável com Microsoft Entra ID está habilitada. Para fazer isso, siga estas etapas:
    1. No painel de navegação esquerdo, navegue até AD FS (2.0), em seguida, Relações de Confiança e, em seguida, Confiando em Fundos de Partes.
    2. Se Microsoft Office 365 Identity Platform estiver presente, clique com o botão direito do mouse nesta entrada e clique em Habilitar.
  4. Reparar a confiança da parte confiável com Microsoft Entra ID vendo a seção "Atualizar propriedades de confiança" de Verificar e gerenciar o logon único com o AD FS.

Cenário 4: A confiança da parte confiável pode estar ausente ou corrompida

Remova e adicione novamente a confiança da parte confiável. Para fazer isso, siga estas etapas:

  1. Faça logon no servidor principal do AD FS.
  2. Clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e clique em Gerenciamento do AD FS (2.0).
  3. No console de gerenciamento, expanda o AD FS (2.0), expanda Relações de Confiança e expanda Trusts de Parte Confiável.
  4. Se Microsoft Office 365 Identity Platform estiver presente, clique com o botão direito do mouse nesta entrada e clique em Excluir.
  5. Adicione novamente a confiança da parte confiável vendo a seção "Atualizar propriedades de confiança" de Verificar e gerenciar o logon único com o AD FS.

Cenário 5: a conta de serviço do AD FS não tem a permissão de usuário "Representar um cliente após a autenticação"

Para conceder a permissão de usuário "Representar um cliente após a autenticação" para a conta de serviço IUSR do AD FS, consulte ID de evento 128 – Windows NT configuração de aplicativo baseada em token.

Referências

Para obter mais informações sobre como solucionar problemas de entrada para usuários federados, confira os seguintes artigos da Base de Dados de Conhecimento da Microsoft:

  • 2530569 Solucionar problemas de instalação de logon único no Microsoft 365, Intune ou no Azure
  • 2712961 Como solucionar problemas de conexão de ponto de extremidade do AD FS quando os usuários entrarem no Microsoft 365, Intune ou Azure

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.