Пассивный запрос федерации завершается ошибкой при доступе к приложению с помощью AD FS и проверки подлинности с помощью форм после подключения к Microsoft Dynamics CRM также с помощью AD FS

Применяется к
Dynamics CRM 2013 Microsoft Dynamics CRM 2013 Service Pack 1 Dynamics CRM 2015

Проблема

Пассивный запрос федерации завершается сбоем при доступе к приложению, например SharePoint, которое использует проверку подлинности AD FS и форм после подключения к Microsoft Dynamics CRM с проверкой подлинности на основе утверждений

Сбой со следующей ошибкой:

Произошла ошибка во время пассивного запроса федерации.
Дополнительные данные
Имя протокола:
Проверяющая сторона:
Сведения об исключении:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: нет зарегистрированных обработчиков протокола по пути /adfs/ls/ для обработки входящего запроса.
в Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Сценарий выхода:
За 20 минут до истечения срока действия маркера отображается диалоговое окно с параметрами входа или отмены. Нажатие кнопки Войти не будет перенаправлено на страницу входа ADFS с запросом имени пользователя и пароля. Вместо этого отображается страница ADFS с выходом. Ссылка — проверка подлинности на основе утверждений и истечение срока действия маркера безопасности.

c971e483-3aa4-9c63-427b-8a64639ed93d

Причина

Проблема вызвана повторяющимся файлом cookie MSISAuth, выданным Microsoft Dynamics CRM в качестве файла cookie домена с пространством имен AD FS. Это имя файла cookie не является уникальным, и при доступе к другому приложению, например SharePoint, оно отображается с дубликатом файла cookie. Это приводит к сбою проверки подлинности.

Сценарий выхода вызван файлом cookie выхода, выданным Microsoft Dynamics CRM в качестве файла cookie домена, см. пример ниже. Этот файл cookie является файлом cookie домена и при его представлении в ADFS он учитывается для всего домена, например для *.contoso.com/. Это приводит к сбою потока повторной проверки подлинности, и ADFS представляет страницу выхода.

Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; Безопасный; HttpOnly

Решение

Чтобы устранить эту проблему, необходимо настроить Microsoft Dynamics CRM со значением поддомена, например crm.domain.com. Для этого потребуется другой сертификат карта, например *.crm.domain.com.

После выполнения этих изменений потребуется повторно настроить проверку подлинности на основе утверждений и IFD с использованием правильных конечных точек, как показано ниже.

  1. Auth.<subdomain.domain.com>
  2. Dev.<subdomain.domain.com>
  3. Org.<subdomain.domain.com>

      

Дополнительные сведения

Дополнительные сведения о настройке проверки подлинности на основе утверждений и IFD для Microsoft Dynamics CRM см. по следующей ссылке:

Настройка проверки подлинности на основе утверждений для сервера Microsoft Dynamics CRM