Erro "Ocorreu um problema ao aceder ao site" do AD FS quando um utilizador federado inicia sessão no Microsoft 365, no Azure ou no Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problema

Quando um utilizador federado tenta iniciar sessão num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune, o utilizador recebe a seguinte mensagem de erro do Serviços de Federação do Active Directory (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Quando este erro ocorre, a barra de endereço do browser aponta para o ponto final do AD FS no local num endereço semelhante ao seguinte:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Causa

Este problema pode ocorrer por um dos seguintes motivos:

  • A configuração do início de sessão único (SSO) através do AD FS não foi concluída.
  • O certificado de assinatura de tokens do AD FS expirou.
  • As afirmações de política de acesso de cliente do AD FS estão configuradas incorretamente.
  • A confiança da entidade confiadora com Microsoft Entra ID está em falta ou está configurada incorretamente.
  • O servidor proxy de federação do AD FS está configurado incorretamente ou exposto incorretamente.
  • A conta IUSR do AD FS não tem a permissão de utilizador "Representar um cliente após a autenticação".

Solução

Para resolver este problema, utilize o método adequado para a sua situação.

Cenário 1: O certificado de assinatura de tokens do AD FS expirou

Verificar se o certificado de assinatura de tokens expirou

Para verificar se o certificado de assinatura de tokens expirou, siga estes passos:

  1. Clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Gestão do AD FS (2.0).
  2. Na consola de gestão do AD FS, clique em Serviço, clique em Certificados e, em seguida, examine as datasefetivas e de expiração do certificado de assinatura de tokens do AD FS.

Se o certificado tiver expirado, tem de ser renovado para restaurar a funcionalidade de autenticação SSO.

Renovar o certificado de assinatura de tokens (se tiver expirado)

Para renovar o certificado de assinatura de tokens no servidor primário do AD FS com um certificado autoassinado, siga estes passos:

  1. Na mesma consola de gestão do AD FS, clique em Serviço, clique em Certificados e, em seguida, em **Certificações **no painel Ações , clique em Adicionar certificado Token-Signing.
  2. Se for apresentado um aviso "Não é possível modificar certificados enquanto a funcionalidade de rollover automático de certificados do AD FS estiver ativada", avance para o passo 3. Caso contrário, verifique as datas de validade e em vigor do certificado. Se o certificado for renovado com êxito, não terá de executar os passos 3 e 4.
  3. Se o certificado não for renovado, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique na pasta Windows PowerShell, clique com o botão direito do rato em Windows PowerShell e, em seguida, clique em Executar como administrador.
  4. Na linha de comandos Windows PowerShell, introduza os seguintes comandos. Prima Enter depois de introduzir cada comando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Para renovar o certificado de assinatura de tokens no servidor primário do AD FS com um certificado assinado por autoridade de certificação (AC), siga estes passos:

  1. Crie o ficheiro WebServerTemplate.inf. Para tal, siga estes passos:

    1. Inicie o Bloco de Notas e abra um novo documento em branco.

    2. Cole o seguinte no ficheiro:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. No ficheiro, altere subject="CN=adfs.contoso.com" para o seguinte:

      subject="CN=your-federation-service-name"

    4. No menu Ficheiro , clique em Guardar Como.

    5. Na caixa de diálogo Guardar Como , clique em Todos os Ficheiros (.) ** na caixa Guardar com o tipo .

    6. Escreva WebServerTemplate.inf na caixa Nome do ficheiro e, em seguida, clique em Guardar.

  2. Copie o ficheiro WebServerTemplate.inf para um dos servidores de Federação do AD FS.

  3. No servidor do AD FS, abra uma janela da Linha de Comandos Administrativa.

  4. Utilize o comando cd(alterar diretório) para mudar para o diretório onde copiou o ficheiro .inf.

  5. Introduza o comando seguinte, e em seguida, prima Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Envie o ficheiro de saída, AdfsSSL.req, para a sua AC para assinatura.

  7. A AC devolverá uma parte da chave pública assinada num formato .p7b ou .cer. Copie este ficheiro para o servidor do AD FS onde gerou o pedido.

  8. No servidor do AD FS, abra uma janela da Linha de Comandos Administrativa.

  9. Utilize o comando cd(alterar diretório) para mudar para o diretório onde copiou o ficheiro .p7b ou .cer.

  10. Introduza o comando seguinte, e em seguida, prima Enter:

    CertReq.exe - Aceitar "file-from-your-CA-p7b-or-cer"

Concluir o restauro da funcionalidade de SSO

Independentemente de ser utilizado um certificado autoassinado ou assinado por AC, deve concluir o restauro da funcionalidade de autenticação SSO. Para tal, siga estes passos:

  1. Adicione acesso de Leitura à chave privada da conta de serviço do AD FS no servidor primário do AD FS. Para tal, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva mmc.exe e, em seguida, prima Enter.
    2. No menu Ficheiro , clique em Adicionar/Remover Snap-in.
    3. Faça duplo clique em Certificados, selecione Conta de computador e, em seguida, clique em Seguinte.
    4. Selecione Computador local, clique em Concluir e, em seguida, clique em OK.
    5. Expanda Certificados (Computador Local), expanda Pessoal e, em seguida, clique em Certificados.
    6. Clique com o botão direito do rato no novo certificado de assinatura de tokens, aponte para Todas as Tarefas e, em seguida, clique em Gerir Chaves Privadas.
    7. Adicione acesso de Leitura à conta de serviço do AD FS e, em seguida, clique em OK.
    8. Saia do snap-in Certificados.
  2. Atualize o thumbprint do novo certificado e a data da confiança da entidade confiadora com Microsoft Entra ID. Para tal, consulte a secção "Como atualizar a configuração do domínio federado do Microsoft 365" em Como atualizar ou reparar as definições de um domínio federado no Microsoft 365, Azure ou Intune.
  3. Recrie a configuração de confiança do proxy do AD FS. Para tal, siga estes passos:
    1. Reinicie o Serviço Windows do AD FS no servidor primário do AD FS.
    2. Aguarde 10 minutos para que o certificado seja replicado para todos os membros do farm de servidores de federação e, em seguida, reinicie o Serviço Windows do AD FS no resto dos servidores do AD FS.
    3. Execute novamente o Assistente de Configuração de Proxy em cada servidor proxy do AD FS. Para obter mais informações, veja Configurar um computador para a função de proxy do servidor de federação.

Cenário 2: Atualizou recentemente a política de acesso do cliente através de afirmações e agora o início de sessão não funciona

Verifique se a política de acesso do cliente foi aplicada corretamente. Para obter mais informações, veja Limitar o acesso aos serviços do Microsoft 365 com base na localização do cliente.

Cenário 3: o ponto final de metadados de federação ou a confiança da entidade confiadora podem estar desativados

Ative o ponto final de metadados de federação e a confiança da entidade confiadora com Microsoft Entra ID no servidor primário do AD FS. Para tal, siga estes passos:

  1. Abra a Consola de Gestão do AD FS 2.0.
  2. Certifique-se de que o ponto final de metadados de federação está ativado. Para tal, siga estes passos:
    1. No painel de navegação esquerdo, navegue até AD FS (2.0), Serviço, Pontos Finais.
    2. No painel central, clique com o botão direito do rato na entrada /Federation Metadata/2007-06/FederationMetadata.xml e, em seguida, clique para selecionar Ativar e Ativar no Proxy.
  3. Certifique-se de que a confiança da entidade confiadora com Microsoft Entra ID está ativada. Para tal, siga estes passos:
    1. No painel de navegação esquerdo, navegue para AD FS (2.0) e, em seguida, Relações de Confiança e, em seguida, Confianças da Entidade Confiadora.
    2. Se Microsoft Office 365 Plataforma de Identidade estiver presente, clique com o botão direito do rato nesta entrada e, em seguida, clique em Ativar.
  4. Repare a confiança da entidade confiadora com Microsoft Entra ID ao ver a secção "Atualizar propriedades de confiança" de Verificar e gerir o início de sessão único com o AD FS.

Cenário 4: A confiança da entidade confiadora pode estar em falta ou danificada

Remova e volte a adicionar a confiança da entidade confiadora. Para tal, siga estes passos:

  1. Inicie sessão no servidor principal do AD FS.
  2. Clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Gestão do AD FS (2.0).
  3. Na consola de gestão, expanda AD FS (2.0), expanda Relações de Confiança e, em seguida, expanda Confianças da Entidade Confiadora.
  4. Se Microsoft Office 365 Plataforma de Identidade estiver presente, clique com o botão direito do rato nesta entrada e, em seguida, clique em Eliminar.
  5. Volte a adicionar a confiança da entidade confiadora ao ver a secção "Atualizar propriedades de confiança" de Verificar e gerir o início de sessão único com o AD FS.

Cenário 5: A conta de serviço do AD FS não tem a permissão de utilizador "Representar um cliente após a autenticação"

Para conceder a permissão de utilizador "Representar um cliente após a autenticação" à conta de serviço IUSR do AD FS, veja ID do Evento 128 — Configuração da aplicação baseada em tokens do Windows NT.

Referências

Para obter mais informações sobre como resolver problemas de início de sessão para utilizadores federados, consulte os seguintes artigos da Base de Dados de Conhecimento Microsoft:

  • 2530569 Resolver problemas de configuração do início de sessão único no Microsoft 365, Intune ou no Azure
  • 2712961 Como resolver problemas de ligação de ponto final do AD FS quando os utilizadores iniciam sessão no Microsoft 365, Intune ou no Azure

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.