Federasyon hizmeti uç noktasını değiştirdikten sonra Microsoft 365, Azure veya Intune oturum açma işlemi başarısız oluyor

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Sorun

AD FS Yönetim Konsolu'nda Active Directory Federasyon Hizmetleri (AD FS) (AD FS) hizmet uç noktası ayarlarını değiştirdikten sonra, Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde çoklu oturum açma (SSO) kimlik doğrulaması başarısız olur ve aşağıdaki belirtilerden biriyle karşılaşırsınız:

  • Federasyon kullanıcıları zengin istemci uygulamalarını kullanarak Microsoft 365, Azure veya Intune oturum açamaz.
  • Tarayıcı uygulamaları, SSO kimlik doğrulaması sırasında AD FS'de kimlik doğrulaması yapmaya çalıştıklarında kullanıcılardan sürekli olarak kimlik bilgileri ister.

Neden

Aşağıdaki koşullardan biri doğruysa bu sorun oluşabilir:

  • AD FS hizmet uç noktaları uygun olmayan şekilde yapılandırılmıştır.
  • AD FS sunucusundaki Kerberos kimlik doğrulaması bozuk.

Çözüm

Bu sorunu çözmek için, durumunuz için uygun olan aşağıdaki yöntemlerden birini kullanın.

Çözüm 1: Varsayılan AD FS hizmet uç noktası yapılandırmasını geri yükleme

AD FS varsayılan hizmet uç noktası ayarlarını geri yüklemek için birincil AD FS sunucusunda şu adımları izleyin:

  1. AD FS Yönetim Konsolu'nu açın ve sol gezinti bölmesinde AD FS'ye, Hizmet'e ve ardından Uç Noktalar'a gidin.

    A D F S varsayılan hizmet uç noktası ayarlarını denetleme adımlarını gösteren ekran görüntüsü.

  2. Uç noktalar listesini inceleyin ve bu listedeki girişlerin belirtildiği gibi (en azından) etkinleştirildiğinden emin olun:

    URL Yolu Etkin Proxy etkin
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport True False
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed True False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed True False
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows True False
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx True False

  3. Listedeki bir öğe önceki tablodaki varsayılan ayarlarla eşleşmiyorsa, girdiye sağ tıklayın ve ardından Gerektiğinde Proxy'de Etkinleştir veya Etkinleştir'i seçin.

    Not

    WS-Trust Windows uç noktaları (/adfs/services/trust/2005/windowstransport ve /adfs/services/trust/13/windowstransport) yalnızca HTTPS'de WIA bağlaması kullanan intranet'e yönelik uç noktalardır.

    AD hesabı kilitlemelerini korumak için bu uç noktalar her zaman proxy'de devre dışı bırakılmalıdır (örneğin extranet'ten devre dışı bırakılmalıdır).

Çözüm 2: Kerberos kimlik doğrulaması sorunlarını giderme

Kerberos kimlik doğrulaması sorunlarını giderme hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

2461628 Federasyon kullanıcıdan Microsoft 365, Azure veya Intune oturum açma sırasında sürekli olarak kimlik bilgileri istenir

Ek Bilgi

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.