Este artigo descreve uma correcção que permite que a janela de aceitação de token de serviços de Federação do Active Directory (AD FS) para tokens de autenticação de Proxy de aplicação da Web (WAP) no Windows Server R2 de 2012. Antes de aplicar esta correcção, repare que esta correcção tem um pré-requisito. Se pretender saber como activar a definição, consulte os detalhes em mais informações.
Sobre esta correcção
Quando um token de autenticação WAP é obtido por um cliente, o token é incluído como uma cadeia de consulta de redireccionamento de URL novamente para WAP. Este token de autenticação é válido para o tempo, como prescrita pelo servidor de AD FS e o URL contém o token. Se um utilizador partilhado acidentalmente um URL que contém o respectivo token com outros utilizadores, WAP irá autorizar os outros utilizadores no contexto do utilizador para quem o token é emitido.
Depois de instalar esta correcção, este problema pode ser reduzido, definindo o limite de janela de aceitação de token de autenticação em WAP utilizando o novo parâmetro de cmdlet.
Informações sobre correção
Importante Não instale um language pack depois de instalar esta correcção. Se o fizer, as alterações específicas do idioma da correcção não serão aplicadas e terá de reinstalar a correcção. Para mais informações, consulte .
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.
Se a correção está disponível para transferência, existe uma secção de "Transferência de Correção Disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentado, submeta um pedido de suporte e serviço de cliente Microsoft para obter a correcção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de ter instalado no Windows Server R2 de 2012.
Informações de registo
Para utilizar a correção neste pacote, não é necessário efetuar alterações ao registo.
Requisito de reinício
Poderá ter de reiniciar o computador depois de aplicar esta correção.
Informações sobre substituição da correção
Esta correção não substitui uma correção disponibilizada anteriormente.
A versão global desta correção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Informações de ficheiro do Windows Server R2 de 2012 e notas
Importante Windows 8.1 hotfixes e correcções do Windows Server 2012 R2 são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 8.1/Windows Server 2012 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela:
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Depois de instalada esta correcção, tem de definir o novo parâmetro de ADFSTokenAcceptanceDurationSec na configuração do Proxy de aplicação Web para activar a nova funcionalidade de janela de aceitação. Por exemplo, para definir uma segunda janela de aceitação 60, deverá executar o cmdlet seguinte do PowerShell:
Conjunto-WebApplicationProxyConfiguration - ADFSTokenAcceptanceDurationSec: 60Esta definição determina o tempo em segundos dentro do qual WAP irá aceitar o token emitido pelo AD FS e apresentados novamente pelo cliente. Definir ADFSTokenAcceptanceDurationSec como zero irá reverter para o comportamento predefinido que não tenha nenhuma janela de aceitação aplicada. O valor máximo que pode ser definido é 3.600 (uma hora). Pode verificar o valor da definição utilizando o cmdlet seguinte do PowerShell:
Get-WebApplicationProxyConfigurationNotas
-
Esta é uma definição global do Proxy de aplicação Web e serão aplicadas a todas as regras de publicação em que é necessária autenticação. Não afecta a duração do token depois do token é transitar para o cookie de autenticação de Proxy de aplicação Web.
-
Esta definição de cmdlet não é aplicável para as aplicações que são publicadas com o protocolo de autenticação OAuth.
Referências
Consulte a utilizada pela Microsoft para descrever actualizações de software.
