Sintomas
A solicitação de federação passiva falha ao acessar um aplicativo, como o SharePoint, que usa AD FS e Autenticação de Formulários após se conectar anteriormente ao Microsoft Dynamics CRM com Autenticação Baseada em Declarações. Ele falha com o seguinte erro: Erro encontrado durante a solicitação passiva de
federação.
Nome do Protocolo de Dados Adicional: Parte Subjacente: Detalhes de
exceção:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: Não há manipuladores de protocolo registrados no caminho /adfs/ls/ para processar a solicitação de
entrada.
em Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context) Cenário de
saída: 20 minutos antes da expiração do token abaixo da caixa de diálogo é exibida com opções para Entrar ou
Cancelar. Clicar em Entrar não redireciona para a página de Logon do ADFS solicitando nome de usuário e senha. Em vez disso, ele apresenta uma página ADFS Des saída. Referece – autenticação baseada em declarações e expiração de token de segurança.
Causa
O problema é causado por um cookie MSISAuth duplicado emitido pelo Microsoft Dynamics CRM como um cookie de domínio com um namespace do AD FS. Esse nome de cookie não é exclusivo e quando outro aplicativo, como o SharePoint, é acessado, ele é apresentado com cookies duplicados. Isso faz com que a autenticação falhe.
O cenário de Sair é causado pelo cookie Sign Out emitido pelo Microsoft Dynamics CRM como um cookie de domínio, veja o exemplo abaixo. Este cookie é um cookie de domínio e, quando apresentado ao ADFS, ele é considerado para todo o domínio, como *.contoso.com/. Isso causa falha no fluxo de autenticação e o ADFS apresenta a página Sair.
Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; seguro; httpOnly
Resolução
Para resolver esse problema, você precisará configurar o Microsoft Dynamics CRM com um valor de subdomínio, como crm.domain.com. Isso exigirá um certificado de cartão curinga diferente, como *.crm.domain.com.
Depois de executar essas alterações, você precisará configurar a Autenticação Baseada em Reclamações e o IFD usando os pontos de extremidade corretos, como mostrado abaixo:
-
auth.<subdomínio>.domain.com
-
dev.<subdomínio>.domain.com
-
org.<subdomínio>.domain.com
Informações adicionais
Para obter detalhes adicionais sobre como configurar a Autenticação Baseada em Reclamações e o IFD para Microsoft Dynamics CRM, consulte o link a seguir: Configurando a Autenticação baseada em declarações para
o Microsoft Dynamics CRM Server