Um utilizador federado está-lhe pedido repetidamente credenciais durante o início de sessão no Office 365, Azure ou Intune

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 2461628
Importante Este artigo contém informações que lhe mostra como pode ajudar as definições de segurança inferiores ou como desactivar as funcionalidades de segurança num computador. Pode efectuar estas alterações para contornar um problema específico. Antes de efectuar estas alterações, recomendamos que avalie os riscos associados à implementação destas medidas no seu ambiente específico. Se implementar esta solução alternativa, tome medidas adicionais adequadas para ajudar a proteger o computador.
PROBLEMA
Um utilizador federado está-lhe pedido repetidamente credenciais quando o utilizador tenta autenticar para o ponto final de serviço de serviços de Federação do Active Directory (AD FS) durante o início de sessão de um serviço de nuvem Microsoft como Office 365, Microsoft Azure ou Microsoft Intune. Quando o utilizador cancela, o utilizador recebe a seguinte mensagem de erro:
Acesso negado
CAUSA
O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Este problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:
  • Foi utilizado um nome de utilizador incorrecto ou a palavra-passe.
  • Definições de autenticação da Internet Information Services (IIS) são configuradas incorrectamente no AD FS.
  • O nome de principal de serviço (SPN) que tenha associado à conta de serviço que é utilizada para executar o farm de servidores de Federação de AD FS é perdido ou danificado.

    Nota Isto ocorre apenas quando o AD FS é implementado como um farm de servidores de Federação e não implementado numa configuração autónoma.
  • Um ou mais dos seguintes procedimentos são identificados pela protecção alargada para autenticação, como uma origem de um ataque de man-in-the-middle:
    • Alguns browsers da Internet de outros fabricantes
    • O firewall de rede da empresa, Balanceador de carga de rede ou outro dispositivo de rede é publicar o serviço de Federação do AD FS para a Internet de forma a que potencialmente possam ser reescritos dados de payload IP. Possivelmente, isto inclui os seguintes tipos de dados:
      • Secure Sockets Layer (SSL) de bridge
      • Offload da SSL
      • A filtragem de pacotes

        Para mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
        2510193Cenários suportados para utilizar o AD FS para configurar o serviço single sign-on no Office 365, Azure ou Intune
    • Uma aplicação de desencriptação SSL ou de monitorização está instalada ou está activa no computador cliente
  • Resolução de nome DNS (sistema) do domínio de ponto final do serviço de AD FS foi efectuada através de uma procura de registo CNAME em vez de através de uma pesquisa de registo A.
  • Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor de AD FS.

Antes de iniciar a resolução de problemas

Verifique se o nome de utilizador e palavra-passe não estão a causar o problema.
  • Certifique-se de que o nome de utilizador correcto é utilizado e está no formato de (UPN) de nome principal de utilizador. Por exemplo, johnsmith@contoso.com.
  • Certifique-se de que a palavra-passe é utilizada. Para confirmar que é utilizada a palavra-passe, poderá ter de repor a palavra-passe do utilizador. Para mais informações, consulte o seguinte artigo da Microsoft TechNet:
  • Certifique-se de que a conta não estiver bloqueada, expirou ou utilizada fora das horas de início de sessão designado. Para mais informações, consulte o seguinte artigo da Microsoft TechNet:

Verifique se a causa

Para verificar que os problemas de Kerberos estão a causar o problema, ignorar temporariamente a autenticação Kerberos, activando a autenticação baseada em formulários no farm de servidores de Federação de AD FS. Para tal, siga estes passos:

Passo 1: Editar o ficheiro Web. config em cada servidor no farm de servidores de Federação de AD FS
  1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, efectue uma cópia de segurança do ficheiro Web. config.
  2. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, com o botão direito Bloco de notase, em seguida, clique em Executar como administrador.
  3. Sobre o ficheiro de menu, clique em Abrir. No nome do ficheiro , escrevaC:\inetpub\adfs\ls\web.confige, em seguida, clique em Abrir.
  4. No ficheiro Web. config, siga estes passos:
    1. Localize a linha que contém <authentication mode=""> </authentication>e, em seguida, alterá-la para <authentication mode="Forms"> </authentication>.
    2. Localize a secção que começa com <localAuthenticationTypes> </localAuthenticationTypes>e, em seguida, altere a secção para que o <add name="Forms"></add> entrada é listada em primeiro lugar, da seguinte forma:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sobre o ficheiro de menu, clique em Guardar.
  6. Numa linha de comandos elevada, reinicie o IIS utilizando o comando iisreset .
Passo 2: A funcionalidade de teste de AD FS
  1. Num computador cliente que estabeleceu ligação e autenticado para as instalações no ambiente de AD DS, iniciar sessão no portal do serviço de nuvem.

    Em vez de uma experiência de autenticação transparente, um início de sessão-in baseada em formulários deverá ser detectado. Se o início de sessão for bem sucedido através da autenticação baseada em formulários, confirma que existe um problema com Kerberos no serviço de Federação AD FS.
  2. Reverta a configuração de cada servidor no farm de servidores de Federação AD FS para as definições de autenticação anteriores antes de seguir os passos na secção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de Federação de AD FS, siga estes passos:
    1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, elimine o ficheiro Web. config.
    2. Mover a cópia de segurança do ficheiro Web. config que criou do "passo 1: editar o ficheiro Web. config em cada servidor no farm de servidores de Federação de AD FS" secção para a pasta C:\inetpub\adfs\ls\.
  3. Numa linha de comandos elevada, reinicie o IIS utilizando o comando iisreset .
  4. Verifique que o comportamento de autenticação de AD FS reverte para o problema original.
SOLUÇÃO
Para resolver o problema de Kerberos que limita a autenticação de AD FS, utilize um ou mais dos seguintes métodos, conforme adequado à situação.

Resolução 1: Definições de autenticação repor o AD FS para os valores predefinidos

Se as definições de autenticação de AD FS IIS estão incorrectas, ou as definições de autenticação do IIS para serviços de Federação do AD FS e serviços de Proxy não corresponderem, é uma solução para repor todas as definições de autenticação do IIS para as predefinições de AD FS.

As definições de autenticação predefinida estão listadas na seguinte tabela.
Aplicação virtualNível (eis) de autenticação
Web Site/adfs de predefiniçãoAutenticação anónima
Web Site/adfs/ls da predefiniçãoAutenticação anónima
Autenticação do Windows
Em cada servidor de Federação de AD FS e cada proxy de servidor de Federação de AD FS, utilize as informações no seguinte artigo da Microsoft TechNet para repor as aplicações virtuais do IIS do AD FS para as definições de autenticação predefinido:Para mais informações sobre como resolver este erro, consulte os seguintes artigos na Microsoft Knowledge Base:
907273 Resolução de erros de HTTP 401 no IIS

871179 Recebe um "erro 401.1 de HTTP - não autorizado: acesso negado devido a credenciais inválidas" mensagem de erro quando tentar aceder a um Web site que faz parte de um agrupamento de aplicações do IIS 6.0

Resolução 2: Corrigir o farm de servidores de Federação de AD FS SPN

Nota Tente esta resolução apenas quando o AD FS é implementado como um farm de servidores de Federação. Não tente esta resolução numa configuração autónoma de AD FS.

Para resolver o problema se o SPN do serviço do AD FS for perdido ou danificado na conta de serviço do AD FS, siga estes passos num servidor no farm de servidores de Federação de AD FS:
  1. Abra o snap-in de gestão de serviços. Para tal, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
  2. Faça duplo clique sobre o serviço do AD FS (2.0) do Windows.
  3. Sobre o sessão de tabulação, tenha em atenção a conta de serviço que é apresentada em Esta conta.
  4. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, linha de comandosde contexto e, em seguida, clique em Executar como administrador.
  5. Tipo Anfitrião do SetSPN – f – q /<AD fs="" service="" name=""></AD>, e, em seguida, prima Enter.

    Nota Neste comando, <AD fs="" service="" name=""></AD> representa o nome de serviço do domínio totalmente qualificado (FQDN) do nome do ponto final de serviço de AD FS. Não representa o nome de anfitrião do Windows do servidor de AD FS.
    • Se for devolvida mais de uma entrada para o comando e o resultado é associado a uma conta de utilizador diferente do que foi anotado no passo 3, remova essa associação. Para tal, execute o seguinte comando:
      SetSPN – d anfitrião /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se for devolvida mais de uma entrada para o comando e o SPN utiliza o mesmo nome que o nome do computador do servidor de AD FS no Windows, o nome de ponto final de Federação para o AD FS está incorrecto. O AD FS tem de ser implementado novamente. O FQDN do farm de servidores de Federação de AD FS não deve ser idêntico ao nome de anfitrião do Windows de um servidor existente.
    • Se ainda não existir o SPN, execute o seguinte comando:
      SetSPN – um anfitrião /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Nota Neste comando, <username of="" service="" account=""></username> representa o nome de utilizador que foi anotado no passo 3.
  6. Depois destes passos são efectuados em todos os servidores do farm de servidores de Federação de AD FS, com o botão direito O serviço Windows do AD FS (2.0) no snap-in Gestão de serviços e, em seguida, clique em reiniciar.

Resolução 3: Resolver protecção expandido para problemas de autenticação

Para resolver o problema se protecção alargada para autenticação impede que a autenticação com êxito, utilize um dos seguintes métodos recomendados:
  • Método 1: utilizar o Windows Internet Explorer 8 (ou uma versão posterior do programa) para iniciar sessão.
  • Método 2: publicar serviços de AD FS na Internet de forma a que protocolo de bridge SSL, SSL descarregar ou a filtragem de pacotes não reescreve dados de payload IP. A recomendação de melhores práticas para o efeito é utilizar um servidor de Proxy do AD FS.
  • Método 3: fechar ou desactivar a monitorização ou aplicações de desencriptação de SSL.
Se não conseguir utilizar qualquer destes métodos para contornar este problema, pode ser desactivada protecção expandido para a autenticação para clientes de activos e passivos.

Solução alternativa: Desactivar a protecção adicional para autenticação

Aviso Não recomendamos que utilize este procedimento como uma solução a longo prazo. Desactivação da protecção alargada para autenticação enfraquece o perfil de segurança do AD FS serviço através da detecção não certos ataques man-in-the-middle em pontos finais de autenticação integrada do Windows.

Nota Quando esta solução alternativa for aplicada para a funcionalidade de aplicação de terceiros, deve também desinstalar correcções no sistema operativo de cliente para protecção alargada para autenticação. Para mais informações sobre as correcções, consulte o seguinte artigo na Microsoft Knowledge Base:
968389 Protecção adicional para autenticação
Para clientes passivos
Para desactivar a protecção expandido para a autenticação para clientes do passivos, efectue o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores do farm de servidores de Federação de AD FS:
  • Web Site/adfs de predefinição
  • Web Site/adfs/ls da predefinição
Para tal, siga estes passos:
  1. Abra o Gestor de IIS e navegar para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor de IIS, consulte Abra o Gestor de IIS (IIS 7).
  2. Na vista de funcionalidades, faça duplo clique sobre a autenticação.
  3. Na página de autenticação, seleccione A autenticação do Windows.
  4. No painel de Acções , clique em Definições avançadas.
  5. Quando aparecer a caixa de diálogo Definições avançadas , seleccione Terminardoprotecção expandido menu pendente.
Para clientes activos
Para desactivar a protecção expandido para a autenticação de clientes activos, execute o seguinte procedimento no servidor de AD FS principal:
  1. Abra o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para snap-in AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para desactivar a protecção alargada para autenticação:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Reactivar a protecção adicional para autenticação

Para clientes passivos
Para reactivar a protecção expandido para a autenticação para clientes do passivos, efectue o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores do farm de servidores de Federação de AD FS:
  • Web Site/adfs de predefinição
  • Web Site/adfs/ls da predefinição
Para tal, siga estes passos:
  1. Abra o Gestor de IIS e navegar para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor de IIS, consulte Abra o Gestor de IIS (IIS 7).
  2. Na vista de funcionalidades, faça duplo clique sobre a autenticação.
  3. Na página de autenticação, seleccione A autenticação do Windows.
  4. No painel de Acções , clique em Definições avançadas.
  5. Quando aparecer a caixa de diálogo Definições avançadas , seleccione Aceitarno menu pendente Protecção alargada .
Para clientes activos
Para reactivar a protecção expandido para a autenticação de clientes activos, efectue o seguinte procedimento no servidor de AD FS principal:
  1. Abra o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para snap-in AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para activar a protecção alargada para autenticação:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Resolução 4: Substituir registos CNAME com registos para o AD FS

Utilize ferramentas de gestão de DNS para substituir cada registo de DNS Alias (CNAME) que utilizou para o serviço de federação com um endereço DNS registo (A). Além disso, verifique ou considere as definições de DNS da empresa quando uma split-brain configuração de DNS é implementada. Para mais informações sobre como gerir registos DNS, consulte o seguinte Web site Microsoft TechNet:

Resolução 5: Configurar o Internet Explorer como um cliente de AD FS para o início de sessão único (SSO)

Para mais informações sobre como configurar o Internet Explorer para o acesso de AD FS, consulte o seguinte artigo na Microsoft Knowledge Base:
2535227Um utilizador federado está-lhe pedido inesperadamente para introduzir o seu trabalho ou escola credenciais da conta
MAIS INFORMAÇÕES
Para ajudar a proteger uma rede, o AD FS utiliza protecção alargada para autenticação. Protecção adicional para a autenticação pode ajudar a impedir ataques man-in-the-middle em que um atacante intercepta as credenciais do cliente e encaminha-as para um servidor. Protecção contra ataques desses tipo torna-se possível através da utilização de obras de enlace de canal (CBT). CBT pode ser necessário, permitido ou não requerido pelo servidor quando são estabelecidas comunicações com clientes.

A definição de ExtendedProtectionTokenCheck AD FS Especifica o nível de protecção adicional para a autenticação é suportada pelo servidor de Federação. Estes são os valores disponíveis para esta definição de:
  • Exigir: O servidor está totalmente puro. Protecção adicional é imposta.
  • Permitir: Esta é a predefinição. O servidor está parcialmente puro. Protecção adicional é imposta envolvidos em sistemas que são alteradas para suportar esta funcionalidade.
  • Nenhum: O servidor está vulnerável. Protecção adicional não é imposta.
As tabelas seguintes descrevem o funcionamento da autenticação para três sistemas operativos e browsers, dependendo das opções de protecção expandido diferentes que estão disponíveis no AD FS com o IIS.

Nota Sistemas operativos Windows cliente tem de ter actualizações específicas que são instaladas para utilizar eficazmente as funcionalidades de protecção alargada. Por predefinição, as funcionalidades estão activadas no AD FS. Estas actualizações estão disponíveis a partir do seguinte artigo na Microsoft Knowledge Base:
968389 Protecção adicional para autenticação
Por predefinição, o Windows 7 inclui os binários adequados para utilizar a protecção alargada.

Windows 7 (ou versões devidamente actualizadas do Windows Vista ou do Windows XP)
DefiniçãoExigirPermitir (predefinição)Nenhum
Comunicação do Windows
Foundation (WCF) cliente (todos os pontos finais)
WorksWorksWorks
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaFalhaWorks
Safari 4.0.4FalhaFalhaWorks
Windows Vista sem as actualizações apropriadas
DefiniçãoExigirPermitir (predefinição)Nenhum
Cliente de WCF (todos os pontos finais)FalhaWorksWorks
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Windows XP sem as actualizações apropriadas
DefiniçãoExigirPermitir (predefinição)Nenhum
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Para mais informações sobre protecção alargada para autenticação, consulte os seguintes recursos da Microsoft:
968389 Protecção adicional para autenticação
Para mais informações sobre o cmdlet do Conjunto de ADFSProperties , vá para o seguinte Web site da Microsoft:

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Os produtos de outros fabricantes que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos

Propriedades

ID do Artigo: 2461628 - Última Revisão: 01/14/2016 19:59:00 - Revisão: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtpt
Comentários