Tek oturum açma (SSO) ile ilgili sorunlar Active Directory Federasyon Hizmetleri (AD FS) ile ilgili sorunları giderme

Tarafın olası sorunları denetlemek için sorun giderme ile devam edin.

Tarafın ek denetimler ile devam edin.

SSL sertifikasını denetlemek için sorun gidermeye devam edin.

Web uygulaması proxy'si ve AD FS arasındaki ilişkide proxy denetlemek için sorun gidermeye devam edin.

Bağlama, 443 numaralı bağlantı noktası üzerinde AD FS sertifika bağlama ile çakışabilir.

Hangi sorunun kullanıcı SSO'su karşılaşma?

AD FS oturum açma sayfası veya uygulama tarafında bu sorun oluşabilir.

AD FS oturum açma sayfasında, sorun ortaya çıkarsa, bir ","HTTP 503 Hizmet kullanılamıyor"veya başka bir hata iletisi hata" alırsınız. AD FS hizmet adı fs.contoso.com gibi hata sayfasının URL'sini gösterir.

Uygulama tarafında sorun ortaya çıkarsa, hata sayfasının URL'sini IP adresini veya site hedef hizmet adını gösterir.

Nerede bu sorunla karşılaştığınız?

Bu sorun tüm kullanıcıları etkiler?

Kullanıcı herhangi bir bağlı tarafların erişebilir mi?

Bu sorun bir Azure Reklam senaryosunda oluşuyor?

Kullanıcı herhangi bir bağlı tarafların erişebilir mi?

Belirteç imzalama sertifikası AD FS tarafından yakın zamanda yenilendi, yeni sertifikayı Federasyon ortağı tarafından toplanmış olmadığını denetleyin. AD FS, ayrıca son yenilendi sertifika şifresini bir belirteç kullanır durumunda, aynı de işaretleyin. Geçerli AD FS belirteci imzalama sertifikası üzerinde AD FS federasyon ortağı bir eşleşip eşleşmediğini denetlemek için şu adımları izleyin:

  1. Geçerli belirteç imzalama sertifikası AD FS üzerinde aşağıdaki komutu çalıştırarak alın:
    Get-ADFSCertificate -CertificateType token-signing

  2. Birlikte verilen sertifikalar listesinde bulmak IsPrimary = TRUEve parmak izi not alın.

  3. Geçerli belirteç imzalama sertifikası Federasyon ortağı üzerinde parmak izi alın. Uygulama sahibi bu bilgiyi sağlamanız gerekir.

  4. İki sertifika parmak izlerini Karşılaştır .

AD FS şifresini sertifikadaki AD FS belirteci almak için komutu aşağıdaki gibi olması dışında şifre çözme sertifikası, yenilenmiş bir belirteç kullanıyorsa aynı denetimi yapın:
Get-ADFSCertificate -CertificateType token-decrypting

Otomatik olarak imzalanan belirteç imzalama sertifikası veya belirteç şifresi çözme sertifikası varsa, AutoCertificateRollover bu sertifikaları varsayılan olarak etkindir ve süresi sona ermek üzere olduklarında sertifikalarının otomatik yenileme AD FS yönetir.

Otomatik olarak imzalanan sertifika kullanıyorsanız, belirlemek için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırın:
    Get-ADFSCerticate -CertificateType "token-signing"
    Get-ADFSCertificate

  2. Sertifika Özellikleri inceleyin.
    Konu ve sertifikayı veren öznitelikleri ile başlatırsanız, "CN = ADFS imzalama...", sertifika kendinden imzalıysa ve AutoCertRollover tarafından yönetilen.

Sertifikaları otomatik olarak yenilemek, doğrulamak için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırın:
    Get-ADFSProperties | FL AutoCertificateRollover
    Get-ADFSProperties

  2. AutoCertificateRollover özniteliğini inceleyin.

    • Yoksa AutoCertificateRollover = TRUE, AD FS otomatik olarak yeni sertifikalar (varsayılan olarak sona erme tarihinden önce 30 gün) oluşturur ve bunları birincil sertifikaları (sona erme tarihinden önce 25 gün) olarak ayarlar.

    • Yoksa AutoCertificateRollover = FALSE, sertifikalarını el ile değiştirmeniz gerekir.

Parmak izlerini eşleşiyor mu?

Uyuşmazlık olup olmadığını denetlemek için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırarak tarafın kullanılan algoritmayı belirleyin: Al-ADFSRelyingPartyTrust -Name RPName | FL SignatureAlgorithm

    Olası değerler şunlardır: SHA1 veya SHA256 .

  2. Uygulama tarafında kullanılan algoritma uygulaması sahibi danışın.

  3. İki algoritmaları eşleşip eşleşmediğini denetleyin.

Bir uyumsuzluk var mı?

Kullanıcı bir beklenmeyen NTLM istemi veya form tabanlı kimlik doğrulaması istemi almak mı?

Kullanıcı, çok faktörlü kimlik doğrulama beklenmedik bir sor elde etmez? Veya Kullanıcı istemi tekrar tekrar elde etmez?

Bu sorun bir Azure Reklam senaryosunda oluşuyor?

Azure AD için gönderilen kimlik doğrulama isteği istem = oturum açma parametresiiçerir?

İstek parametreleri WAUTH ve RequestedAuthNContext gibi kimlik doğrulama istekleri belirtilen kimlik doğrulama yöntemleri olabilir. Beklenmeyen kimlik doğrulama istemi isteği parametre zorunlu kıldığı?

Sorun gidermek için aşağıdaki yöntemleri kullanın.

Windows PowerShell veya UI kullanıcı durumunu denetleyin. Kullanıcı, kullanıcı devre dışı bırakılmışsa etkinleştirin.

Windows PowerShell ile kullanıcı durumunu denetle

  1. Tüm etki alanı denetleyicilerine oturum açın.

  2. Windows PowerShell açın.

  3. Aşağıdaki komutu çalıştırarak kullanıcı durumunu denetleyin:
    Get-ADUser -Identity <samaccountname of the user> | Select Enabled
    Get-ADUser

Kullanıcı arabiriminde kullanıcı durumunu denetle

  1. Tüm etki alanı denetleyicilerine oturum açın.

  2. Active Directory Kullanıcıları ve bilgisayarları yönetim konsolunu açın.

  3. Kullanıcılar düğümünü tıklatın, kullanıcıyı sağ bölmede sağ tıklatın ve sonra Özellikler' i tıklatın.

  4. Hesap sekmesini tıklatın.

  5. Hesap seçeneklerialtında Hesap devre dışı işaretli değilse doğrulayın.
    The "Account is disabled" option under Account options

  6. Bu seçenek seçili ise, onay kutusunu temizleyin.

Sorun aşılabilir?

Herhangi bir özelliği, kullanıcı Active Directory'de güncelleştirilmesi durumunda kullanıcı nesnesinin meta verilerde değişiklik olur. Kullanıcı meta veri nesnesi hangi özelliklerin en son güncelleştirilen görmek için denetleyin. Değişiklikleri bulunursa ilgili hizmetler tarafından çekilen olduğunu emin olun. Özellik değişiklikleri aşağıdaki adımları, bir kullanıcı olup olmadığını denetlemek için:

  1. Bir etki alanı denetleyicisine oturum açın.

  2. Windows PowerShell açın.

  3. Aşağıdaki komutu çalıştırarak kullanıcı nesnesinin meta verilerini alın:
    repadmin /showobjmeta <destination DC> "user DN"

    Komut örneği verilmektedir:
    repadmin /showobjmeta localhost "CN=test user,CN=Users,DC=fabidentity,DC=com"

  4. Meta verilerde herhangi bir değişiklik için ipucu için her öznitelik için saat/tarih sütunu inceleyin. Aşağıdaki örnekte, userPrincipleName özniteliği kullanıcı nesnesi meta verilerde değişiklik gösteren yeni bir tarih diğer öznitelikleri'den alır.
    repadmin show user metadata

Sorun aşılabilir?

Çoklu orman AD FS ortamında, orman AD FS nerede dağıtılır ve hangi kimlik doğrulama için AD FS dağıtım kullanan ormanlar arasında iki yönlü orman güveni gereklidir. Ormanlar arasında güven beklendiği gibi çalışıp çalışmadığını doğrulamak için şu adımları izleyin:

  1. Burada AD FS dağıtılır ormandaki bir etki alanı denetleyicisine oturum açın.

  2. Active Directory etki alanları ve Güvenleri'ni Aç Yönetim Konsolu.

  3. İçinde Yönetim Konsolu, doğrulamak istediğiniz güveni içeren etki alanını sağ tıklatın ve sonra Özellikler' i tıklatın.

  4. Güvenler sekmesini tıklatın.

  5. Etki alanları (gelen güvenler) bu etki alanı güveni, Güvenilen etki alanları (giden güvenler) bu etki veya altında doğrulanmasını istediğiniz güveni tıklatın ve ardından Özellikler' i tıklatın.

  6. Doğrula' yı tıklatın.
    Active Directory etki alanı Hizmetleri iletişim kutusunda seçeneklerinden birini seçin.

    • Hayır' ı seçerseniz karşılıklı etki alanı için aynı yordamı yineleyin öneririz.

    • Evet'iseçerseniz, karşılıklı etki alanı için bir yönetici kullanıcı kimlik bilgisi sağlar. Karşılık gelen etki alanı için aynı yordamı gerçekleştirmek için gerek yoktur.

Active Directory Domain Services

  • Sorun aşılabilir?

Döküm Token app hata ayıklama sorunları, Federasyon Hizmeti yanı sıra özel doğrulama kuralları talep gerektiğinde yararlıdır. Resmi bir çözüm, ancak sorun giderme amacıyla önerilen iyi bir bağımsız hata ayıklama çözüm değil.

Döküm Token app kullanmadan önce şunları yapmanız gerekir:

  1. Erişmek istediğiniz uygulama için tarafın bilgileri alın. OAuth kimlik doğrulaması gerçekleştirilir, OAuth istemci bilgilerini de alırsınız.

  2. Döküm Token app ayarlayın.

Tarafın ve OAuth istemci bilgilerini al

Geleneksel bir tarafın kullanıyorsanız, şu adımları izleyin:

  1. AD FS sunucu üzerinde Windows PowerShell yönetici olarak çalıştır seçeneğiyle açın.

  2. AD eklemek için Windows PowerShell FS 2.0 bileşenini aşağıdaki komutu çalıştırarak:
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. Aşağıdaki komutu çalıştırarak bağlı parti bilgileri alın:
    $rp = Get-AdfsRelyingPartyTrust RPName

  4. Aşağıdaki komutu çalıştırarak OAuth istemci bilgileri alın:
    $client = Get-AdfsClient ClientName

Windows Server 2016 içinde uygulama grubu özelliğini kullanıyorsanız, aşağıdaki adımları izleyin:

  1. AD FS sunucu üzerinde Windows PowerShell yönetici olarak çalıştır seçeneğiyle açın.

  2. Aşağıdaki komutu çalıştırarak bağlı parti bilgileri alın:
    $rp = Get-AdfsWebApiApplication ResourceID

  3. OAuth istemci ortak ise istemci almak bilgi aşağıdaki komutu çalıştırarak:
    $client = Get-AdfsNativeClientApplication ClientName

    OAuth istemci gizlidir, istemci almak bilgi aşağıdaki komutu çalıştırarak:
    $client = Get-AdfsServerApplication ClientName

Döküm Token app Ayarla

Döküm Token app ayarlamak için Windows PowerShell penceresinde aşağıdaki komutları çalıştırın:

$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"
$issuanceRules = "x:[]=>issue(claim=x);"
$redirectUrl = "https://dumptoken.azurewebsites.net/default.aspx"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

Şimdi aşağıdaki sorun giderme yöntemleri ile devam. Sorun Çözüldü, her yöntemin sonuna bakın. Değilse, başka bir yöntem kullanın.

Bu yöntemde alarak Başlat ilke ayrıntıları ve tanılamak için döküm Token app kullanın kullanıcı etkileniyor mu görmek üzere ilkeyi.

İlke ayrıntıları öğrenin

$rp. IssuanceAuthorizationRules tarafın yetkilendirme kurallarını gösterir.

Windows Server 2016 ve sonraki sürümlerinde, $rp kullanabilirsiniz. Kimlik doğrulama ve yetkilendirme ilkesini yapılandırmak için AccessControlPolicyName. Yoksa $rp. AccessControlPolicyName değeri olan, erişim denetimi ilkesini yerde yetkilendirme ilkesini yönetir. Bu durumda, $rp. IssuanceAuthorizationRules boş. $Rp kullanın. Erişim denetimi ilkesini ayrıntılarını öğrenmek için ResultantPolicy.

Yoksa $rp. ResultantPolicy ilkesi ayrıntılarını, gerçek talep kuralları bakmak değildir. Talep kuralları almak için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırarak $null için erişim denetimi ilkesini ayarlayın:
    Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -AccessControlPolicyName $null

  2. Aşağıdaki komutu çalıştırarak bağlı parti bilgileri alın:
    $rp = Get-AdfsRelyingPartyTrust RPName

  3. Check $rp.IssuanceAuthorizationRulesve$rp. AdditionalAuthenticationRules.

Yetkilendirme ilkesini tanılamak için döküm Token app kullanın

  1. Başarısız olan tarafın aynı olacak şekilde döküm belirteç kimlik doğrulama ilkesini ayarlayın.

  2. Belirlediğiniz kimlik doğrulaması ilkeye bağlı olarak aşağıdaki bağlantılardan birini açmak için kullanıcı sahip.

    • WS-Fed:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML P:https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Çok faktörlü kimlik denetimi zorlar:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  3. Oturum açma sayfasında oturum açın.

Ne almak kullanıcının talep kümesidir. Bir şey olup olmadığını açıkça reddeder veya kullanıcının bu taleplere dayanarak yetkilendirme ilkesi konusuna bakın.

Sorun aşılabilir?

  1. Talep kuralları döküm Token app başarısız olan tarafın talep kurallarına aynı olacak şekilde yapılandırın.

  2. Başarısız olan tarafın aynı olacak şekilde döküm belirteç kimlik doğrulama ilkesini yapılandırın.

  3. Belirlediğiniz kimlik doğrulaması ilkeye bağlı olarak aşağıdaki bağlantılardan birini açmak için kullanıcı sahip.

    • WS-Fed:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML P:https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Çok faktörlü kimlik denetimi zorlar:https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  4. Oturum açma sayfasında oturum açın.

Tarafın kullanıcıdan almak için gittiği talep kümesidir. Verme İlkesi nedenini bulmak için tazminat taleplerini beklenmeyen veya eksik ise, bakın.

Tüm talepler sunmak, danışın, hangi talep görmek için uygulama eksik veya beklenmeyen sahibidir.

Sorun aşılabilir?

Aygıt talepleri için yetkilendirme kurallarını denetleyin, bu aygıt talep döküm Token app alın talepleri listesi eksik olup doğrulayın. Eksik talepleri aygıtın kimlik doğrulaması blok. Talep belirteci döküm app almak için kullanıcı etkileniyordu, yetkilendirme ilkesini denetleme yöntemi kullanımı yetkilendirme ilkesini tanılamak için döküm belirteç uygulama bölümünde adımları izleyin.

Aygıt talepleri aşağıdaki gibidir. Yetkilendirme kuralları bazılarını kullanabilirsiniz.

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser

  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown

  • http://schemas.microsoft.com/2014/02/deviceusagetime

  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant

  • http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype

Eksik talep varsa, aygıtın kimlik doğrulaması için Kurulum ortamı olduğundan emin olmak için yerinde koşullu erişim yapılandırma kullanılarak kaydedilen aygıtları'ndaki adımları izleyin.

Tüm talepleri varsa, döküm Token uygulamadan talepleri değerlerini eşleşen Yetkilendirme ilkesinde gerekli değerleri bakın.

Sorun aşılabilir?

Sorun gidermek için aşağıdaki yöntemleri kullanın. Sorun Çözüldü, her yöntemin sonuna bakın. Değilse, başka bir yöntem kullanın.

Azure AD için oturum açma kullanıcı çalışırsa, AD FS federe etki alanı kimlik doğrulaması için yönlendirilir. Başarısız bir oturum açma için olası nedenler kullanıcı henüz Azure AD eşitlenmedi olduğunu biridir. AD FS deneme döngü Azure için AD AD FS ilk kimlik doğrulamasından sonra gelen görebilirsiniz. Kullanıcı için Azure AD eşitlenmiş olup olmadığını belirlemek için şu adımları izleyin:

  1. Karşıdan yükleme ve Azure AD PowerShell modül yüklemek için Windows PowerShell.

  2. Windows PowerShell "Yönetici olarak çalıştır" seçeneği ile açın.

  3. Azure AD aşağıdaki komutu çalıştırarak bağlantı:
    Connect-MsolService

  4. Genel yönetici kimlik bilgileri için bağlantı sağlar.

  5. Aşağıdaki komutu çalıştırarak Azure Reklamı kullanıcıların listesini alın:
    Get-MsolUser

  6. Kullanıcı listede olup olmadığını doğrulayın.

Kullanıcı listede değilse, Azure Reklam kullanıcıya eşitleyin.

Sorun aşılabilir?

Azure AD immutableID ve kullanıcı kimlik doğrulaması için Kullanıcı UPN gerektirir.

Not: immutableID olarak da adlandırılır sourceAnchor dosyasında bulunan aşağıdaki araçlar:

  • Azure AD eşitleme

  • Azure Active Directory eşitleme (DirSync)

Yöneticileri Azure AD Bağlan Azure AD AD FS güven otomatik yönetimi için kullanabilirsiniz. Azure AD Bağlan yoluyla güven yönetiyorsanız değil, giderek yapmanızı öneririz . indirme Azure AD Bağlan Azure AD bağlantı sağlar otomatik eşitleme ayarlarını temel alan kuralları yönetim talebi.

İmmutableID ve UPN Talebi kuralları olmadığını denetlemek için ne AD FS eşleştirmeleri Azure AD kullanan, şu adımları izleyin:

  1. SourceAnchor ve UPN AD Bağlan alanına Azure alın.

    1. Açık Azure AD bağlayın.

    2. Geçerli yapılandırmayı görüntüle'yitıklatın.
      Azure AD Connect -View current configuration

    3. Your çözüm gözden geçir sayfasında, Kaynak bağlantı ve Kullanıcı ASIL adıdeğerlerini not alın.
      Azure AD Connect -Review your solution

  2. Voğrula karşılık gelen değerleri immutableID (sourceAnchor) ve UPN Talebi AD FS sunucu yapılandırılmış kural.

    1. AD FS, AD FS sunucu üzerinde açık Yönetim Konsolu.

    2. Güvenler bağlı olduğu taraf'ıtıklatın.

    3. Azure AD ile bağlı şirketlerin güven sağ tıklatın ve sonra Talep verme ilkesini Düzenle .

    4. Değişmez kimliği ve UPN talep kuralı açın.

    5. Azure AD Bağlan'de görüldüğü gibi immutableID ve UPN değerleri için sorgulanan değişkenleri aynı olup olmadığını doğrulayın.
      Issue UPN and ImmutableID

    6. Fark varsa, aşağıdaki yöntemlerden birini kullanın:

      • AD FS Azure AD Connect tarafından yönetiliyorsa, bağlı şirketlerin güven Azure AD Connect kullanarak sıfırlayın.

      • AD FS tarafından Azure AD Bağlan Yönetilmezse, sağ özniteliklere sahip talepleri düzeltin.
         

Sorun aşılabilir?

Bilgi olacaktır kullanılan sonraki sorun giderme adımları.

 

Geleneksel bir tarafın kullanıyorsanız, şu adımları izleyin:

  1. Windows PowerShell birincil AD FS sunucu üzerinde yönetici olarak çalıştır seçeneğiyle açın.

  2. AD eklemek için Windows PowerShell FS 2.0 bileşenini aşağıdaki komutu çalıştırarak:
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. Aşağıdaki komutu çalıştırarak bağlı parti bilgileri alın:
    $rp = Get-AdfsRelyingPartyTrust RPName

  4. Aşağıdaki komutu çalıştırarak OAuth istemci bilgileri alın:
    $client = Get-AdfsClient ClientName

Windows Server 2016 içinde uygulama grubu özelliğini kullanıyorsanız, aşağıdaki adımları izleyin:

  1. Windows PowerShell birincil AD FS sunucu üzerinde yönetici olarak çalıştır seçeneğiyle açın.

  2. Aşağıdaki komutu çalıştırarak bağlı parti bilgileri alın:
    $rp = Get-AdfsWebApiApplication ResourceID

  3. OAuth istemci ortak ise, aşağıdaki komutu çalıştırarak istemci bilgileri alın:
    $client = Get-AdfsNativeClientApplication ClientName

    İstemci gizli ise, aşağıdaki komutu çalıştırarak istemci bilgileri alın:
    $client = Get-AdfsServerApplication ClientName

Şimdi, aşağıdaki sorun giderme yöntemleri ile devam edin.

Bağlı diğer tanımlayıcı, istemci kimliği ve yeniden yönlendirme URI'si uygulama ve istemci sahibi tarafından verilmelidir. Ancak, hala olabilir ve ne AD FS'de yapılandırılmış ne sahibi sağlar arasında bir uyumsuzluk. Örneğin, bir yazım hatası uyuşmazlık nedeni olabilir. Ayarları ile sahibi Eşle yapılandırılan AD FS'de sağlanan ise denetleyin. Önceki sayfadaki adımları AD FS PowerShell aracılığıyla yapılandırılan ayarları alın.

Sahibi tarafından sağlanan ayarları

AD FS, yapılandırılan ayarları

Parti kimliği güvenmek

$rp.Identifier

Parti yeniden yönlendirilen URI güvenmek

Bir önek veya joker karakter eşleme

  • $rp. WS-Fed karşı taraf için WSFedEndpoint

  • $rp. SAML karşı taraf için SamlEndpoints

İstemci kimliği

$client.ClientId

İstemci yeniden yönlendirilen URI

$Client bir önek eşleşme. RedirectUri

Ayrıca, tablo içindeki öğeler eşleşirse, bu ayarları arasındaki AD FS için gönderilen kimlik doğrulama isteği içinde göründükleri ne AD FS'de yapılandırılmış eşleşip eşleşmediğini denetleyin. AD FS için uygulama tarafından gönderilen kimlik doğrulama isteğini Fiddler izleme sırasında yakalama sorunu yeniden deneyin. İsteğin türüne bağlı olarak aşağıdaki denetimleri yapmak için istek parametrelerini inceleyin.

OAuth istekleri

OAuth istek aşağıdaki gibi görünür:

https://sts.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

İstek parametreleri AD FS'de yapılandırılan ayarlara eşleşip eşleşmediğini denetleyin.

İstek parametreleri

AD FS, yapılandırılan ayarları

client_id

$client.ClientId

redirect_uri

@Client_RedirectUri bir öneki eşleme

"Kaynak" parametresi geçerli bir tarafın AD FS'deki temsil etmelidir. Aşağıdaki komutları çalıştırarak bağlı şirketlerin bilgi alın.

  • Geleneksel bir tarafın kullanırsanız, aşağıdaki komutu çalıştırın:
    Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"

  • Windows Server 2016 içinde uygulama grubu özelliğini kullanırsanız, aşağıdaki komutu çalıştırın:
    Get-AdfsWebApiApplication "ValueOfTheResourceParameter"

WS-Fed istekleri

WS-Fed istek aşağıdaki gibi görünür:

https://fs.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

İstek parametreleri AD FS'de yapılandırılan ayarlara eşleşip eşleşmediğini denetleyin:

İstek parametreleri

AD FS, yapılandırılan ayarları

wtrealm

$rp.Identifier

wreply

Önek Eşleştir veya joker karakter eşleştirme, $rp. WSFedEndpoint

SAML isteği

SAML isteği aşağıdaki gibi görünür:

https://sts.contoso.com/adfs/ls/?SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-sha1&Signature=Signature

SAMLRequest parametresinin değeri Fiddler metin Sihirbazı'nda "gelen DeflatedSAML" seçeneğini kullanarak kod çözme. Kodu çözülen değeri aşağıdaki gibi görünür:

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z" Destination="https://TestClaimProvider-Samlp-Only/adfs/ls" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /></samlp:AuthnRequest>

Kodu çözülen değeri içinde aşağıdaki denetimleri yapın:

  • Ana hedef değer adı, kontrol AD FS ana bilgisayar adıyla eşleşen.

  • Veren değerinin eşleşip eşleşmediğini denetleme$rp.Identifier.

SAML için ek notlar

  • $rp. SamlEndpoints: tüm türleri SAML bitiş noktaları gösterilmektedir. Son noktalar konfigüre karşılık gelen URL AD FS gelen yanıt gönderilir. SAML bitiş noktası, ileti iletimi için yeniden yönlendirme, post veya yapı bağlantılarını kullanabilirsiniz. Bu URL'ler AD FS'de yapılandırılabilir.

  • $rp. SignedSamlRequestsRequired: değeri ayarlanırsa imzalanacak bağlı şirketlerin gereksinimlerini SAML isteği gönderdi. "SigAlg" ve "İmza" parametreleri istekte bulunması gerekir.

  • $rp. RequestSigningCertificate: İmzalama sertifikası SAML isteğinde imzasını üretmek için kullanılan budur. Sertifikanın geçerli olduğundan emin olun ve uygulama sahibinden eşleşen sertifika isteyin.

Sorun aşılabilir?

Eğer$rp.EncryptClaimsdöner "Enabled" taraf şifreleme güvenmek, etkindir. AD FS, talepleri şifrelemek için şifreleme sertifikası kullanır. Aşağıdaki denetimleri yapın:

  • $rp. EncryptionCertificate: sertifika almak ve geçerli olup olmadığını denetlemek için bu komutu kullanın.

  • $rp. : EncryptionCertificateRevocationCheck Sertifika iptal sağlayıp sağlamadığını denetlemek için bu komutu kullanın gereksinimlerini denetleyin.

Sorun aşılabilir?

Sertifika uyuşmazlıklar varsa, ortakları yeni sertifikaları kullanmasını sağlayın. Sertifikalar AD FS sunucu tarafından yayımlanan Federasyon meta veriler dahil edilir.

Not: Ortaklar bakın , AD FS'de bağlı şirketlerin güvenleri ve talep sağlayıcısı güvenleri tarafından temsil edilen tüm kaynak kuruluş veya hesap kuruluşu ortaklarınızdan,.

Ortaklar Federasyon meta verileri erişebilirsiniz

Ortakları Federasyon meta verilerine erişmek, Yeni bir sertifikakullanmak üzere ortaklar isteyin.

Ortaklar Federasyon meta verilerine erişemiyor

Bu durumda, yeni sertifika ortak anahtarları el ile ortakları göndermeniz gerekir. Bunu yapmak için şu adımları izleyin:

  1. Ortak anahtarlar .cert dosyaları veya tüm sertifika zincirlerini içerecek şekilde .p7b dosyaları olarak dışa aktarın.

  2. Ortak anahtarlar ortaklarınıza göndermek.

  3. Yeni sertifika kullanmak üzere ortaklar isteyin.

Sorun aşılabilir?

  1. AD FS yönetim konsolunu açın.

  2. Bağlı şirketin güven sağ tıklatın ve sonra Özellikler' i tıklatın.

  3. Gelişmiş sekmesinde, ne uygulama gerektirir eşleştirmek için algoritmayı seçin.
    Relying party trust-Hash algorithm

Problem Çözüldü ?

  1. AD FS sunucu üzerinde aşağıdaki komutu çalıştırarak verme dönüştürme kuralları dökümü:
    (Get-AdfsRelyingPartyTrust -Name RPName).IssuanceTransformRules

  2. NameIdentifier Talep veren kural bulun. Böyle bir kural yoksa, bu adımı atlayın.
    Kuralın bir örneði aþaðýdadýr:

    c:[Type == "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

    Dikkat edin NameIdentifier biçiminde aşağıdaki sözdizimi:
    Properties["Property-type-URI"] = "ValueURI"

    Olası biçimleri aşağıda listelenmiştir. Varsayılan değer ilk biçimidir.

    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifie.

    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

  3. Uygulama tarafından gerekli NameIdentifier biçimi için uygulama sahibi isteyin.

  4. İki NameIdentifier biçimi eşleşip eşleşmediğini denetleyin.

  5. Biçimleri eşleşmiyorsa, NameIdentifier talep uygulama gerektiren bir biçim kullanmak için yapılandırın. Bunu yapmak için şu adımları izleyin:

    1. AD FS yönetim konsolunu açın.

    2. Şirketlerin güvendiği güvenmektıklatın, uygun Federasyon ortağı seçin ve Eylemler bölmesinde Talepleri verme ilkesini Düzenle'yi tıklatın.

    3. NameIdentifier talep vermek veya varolan bir kuralı güncelleştirmek için hiçbir kural ise yeni bir kural ekleyin. Gelen talep türüiçin Ad Kimliğini seçin ve ardından uygulama gerektiren biçimini belirtin.
      Configure claim rule

Sorun aşılabilir?

Not: sorunu gidermek üzere Fiddler kullanabilirsiniz. Aynı olur.

Döküm Token app hata ayıklama sorunları, Federasyon Hizmeti yanı sıra özel doğrulama kuralları talep gerektiğinde yararlıdır. Resmi bir çözüm, ancak sorun giderme amacıyla önerilen iyi bir bağımsız hata ayıklama çözüm değil. Döküm Token app kullanmak için şu adımları izleyin:

  1. Aşağıdaki komutları çalıştırarak döküm Token app ayarlayın:
    $authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"https://dumptoken.azurewebsites.net/default.aspx"
    $samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
    Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

  2. Başarısız olan bağlı şirketlerin yapılandırma copy verme kurallarını DumpToken için tarafın yineler. Bunu yapmak için aşağıdaki komutu çalıştırın:
    Set-ADFSRelyingPartyTrust -TargetName "urn:dumptoken" -IssuanceTransformRules (Get-ADFSRelyingPartyTrust -Name <”your_SrcRP_Name”>).IssuanceTransformRules

  3. Belirlediğiniz kimlik doğrulaması ilkeye bağlı olarak aşağıdaki bağlantılardan birini açmak için kullanıcı sahip.

    • WS-Fed:https://<Ferderation Instance>/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken

    • SAML:https://<Ferderation Instance>/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken

    • Çok faktörlü kimlik denetimi zorlar:https://<Ferderation Instance>/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn

  4. Talep kimlik doğrulama sayfasında oturum açma kullanıcı sağlayarak alın.

  5. Ham belirteç XML bölümüne ve sonra gözden Attribute deyimi aşağıdaki dizelerden denetleyerek görmesini, eşleştirmek ne talep verme ilkesi yapılandırılır genişletin, döküm belirteç çıktı :

    • SAML:NameIdentifier: Bu NameIdentifier biçimini gösterir.

    • SAML:AttributeStatement: Bu her talep türü/değer çiftini belirteç için gösterir.

    • SAML:AuthenticationStatement: Bu kimlik doğrulama yöntemi ve kimlik doğrulaması anında gösterir.

Sorun aşılabilir?

AD FS hizmeti çalışır durumda ve kimlik doğrulama işlevi düzgün çalıştığını doğrulamak için IdpInititatedSignOn sayfasını kullanın. IdpInitiatedSignOn sayfa açmak için şu adımları izleyin:

  1. IdpInitiatedSignOn sayfasını, AD FS sunucu üzerinde aşağıdaki komutu çalıştırarak etkinleştir:
    Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. Ağınız bir bilgisayardan aşağıdaki sayfayı ziyaret edin:
    https://FederationInstance/adfs/ls/idpinitiatedsignon.aspx

  3. Oturum açma sayfasında geçerli kullanıcı kimlik bilgileri doğru girin.

Oturum başarılı mı?

Bu sorunu gidermek için aşağıdaki bileşenleri ve Hizmetleri denetleyin.

AD FS erişim birine doğrudan AD FS sunucularının veya yük dengeleyici önünde AD FS sunucularını göstermelidir. Aşağıdaki denetimleri yapın:

  • Federasyon Hizmeti adı (örneğin, fs.contoso.com) ping işlemi yapın. Size IP adresini AD FS sunuculardan biri veya AD FS sunucularının yük dengeleyici giderip onaylayın.

  • Bir A kaydı için DNS sunucusu Federasyon Hizmetinde olup olmadığını denetleyin. A kaydı, AD FS sunuculardan biri veya yük dengeleyici AD FS sunucularını göstermelidir.

Sorun aşılabilir?

  • Arasındaki trafiği güvenlik duvarı engelleme olmadığını denetleyin:

    • AD FS sunucu ve yük dengeleyici.

    • (Web Application Proxy) WAP server ve WAP kullanılırsa, yük dengeleyici.

  • Yoklama yük dengeleyici etkin olduğunda aşağıdakileri denetleyin:

    • Windows Server 2012 R2 çalıştırıyorsanız, emin Ağustos 2014 güncelleştirme toplaması yüklenir.

    • 80 numaralı bağlantı noktası güvenlik duvarı WAP sunucuları ve AD FS sunucuları üzerinde etkin olup olmadığını denetleyin.

    • Bu araştırma için 80 numaralı bağlantı noktası ve bitiş noktası/adfs/araştırma için ayarlandığından emin olun.

Sorun aşılabilir?

  1. AD FS sunucuda, Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi'nde, Araçlar > Hizmetler.

  3. Active Directory Federasyon Hizmetleri durumu çalışanolup olmadığını denetleyin.

Sorun aşılabilir?

AD FS, farklı işlevleri ve senaryoları için çeşitli bitiş noktaları sağlar. Tüm bitiş noktası, varsayılan olarak etkindir. Aşağıdaki adımları bitiş noktaları durumunu denetlemek için:

  1. AD FS sunucu üzerinde AD FS yönetim konsolunu açın.

  2. Hizmet genişletin > Son noktalar.

  3. Bitiş noktaları bulun ve durumları Etkin sütunda etkin olmadığını doğrulayın.
    ADFS Endpoints status

Sorun aşılabilir?

SSL sertifika yönetimini kolaylaştırır Azure AD Bağlan kullanmanızı öneririz.

Azure AD Bağlan ortamınızda yüklü mü?

Azure AD Bağlan yüklediyseniz, emin olun, SSL sertifikaları güncelleştirmek ve yönetmek için kullanın.

Sorun aşılabilir?

SSL sertifika aşağıdaki gereksinimleri karşılaması gerekir:

  • Bir güvenilen kök sertifika yetkilisi sertifikasıdır.
    AD FS, SSL sertifikalarını bir güvenilen kök sertifika yetkilisi olmasını gerektirir. AD FS, etki alanı olmayan birleştirilmiş bilgisayarlardan erişiliyorsa, DigiCert, VeriSign gibi güvenilir bir üçüncü taraf kök sertifika yetkilisinden SSL sertifikası kullanmanızı öneririz. SSL sertifikası bir güvenilen kök sertifika yetkilisi değilse, SSL iletişimini ardıllarına bölebilirsiniz.

  • Sertifika konu adı geçerli değil.
    Konu adı, Federasyon Hizmeti ad, AD FS sunucu adı veya değil başka bir adla eşleşmesi gerekir. Federasyon Hizmeti adını almak için birincil AD FS sunucu üzerinde aşağıdaki komutu çalıştırın:
    Get-AdfsProperties | select hostname

  • Sertifikanın iptal.
    Sertifika iptalini denetle. Sertifika iptal edilirse, SSL bağlantısı güvenilir olamaz ve istemciler tarafından engellenir.

SSL sertifika aşağıdaki gereksinimleri karşılıyor mu?

Sorununuzu çözmek için SSL iletişim için koşullu bir sertifika alın.

Tam bir SSL sertifikası kullandıktan sonra sorun aşılabilir?

SSL sertifikası aşağıdaki yapılandırmalarını denetleyin.

SSL sertifikası yüklenmelidir grubunuzdaki her federasyon sunucusundaki yerel bilgisayar Kişisel depolama. Sertifikayı yüklemek için çift tıklatın. Sihirbazı izleyin ve Sertifika PFX dosyası.

Doğru yere sertifika yüklü olup olmadığını doğrulamak için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırarak yerel bilgisayarın Kişisel deposu olan sertifikaları listeler:
    dir Cert:\LocalMachine\My

  2. Sertifika listesinde olup olmadığını denetleyin.

Sorun aşılabilir?

SSL iletişim için kullandığı sertifikanın parmak izini alın ve parmak beklenen sertifika parmak izi ile eşleştiğini doğrulayın.

Kullanımda olan sertifikanın parmak izi almak için Windows PowerShell içinde aşağıdaki komutu çalıştırın:

Get-AdfsSslCertificate

Yanlış sertifika kullanılıyorsa, aşağıdaki komutu çalıştırarak doğru sertifika ayarlayın:

Set-AdfsSslCertificate –Thumbprint CorrectThumprint

Sorun aşılabilir?

SSL sertifikası AD FS grubunuzda hizmet iletişim sertifikası ayarlanması gerekir. Bu otomatik olarak gerçekleşmez. Sertifika doğru ayarlanmış olup olmadığını denetlemek için şu adımları izleyin:

  1. Hizmeti AD FS yönetim konsolunda genişletin > Sertifikalar.

  2. Hizmet iletişimlerini altında listelenen sertifika beklenen sertifika olup olmadığını doğrulayın.

Yanlış sertifika listeleniyorsa, doğru sertifika ayarlayın ve daha sonra AD FS hizmet sertifikası için Okuma izni verin. Bunu yapmak için şu adımları izleyin:

  1. Doğru sertifikanın ayarlayın:

    1. Sertifikalar' ı sağ tıklatın ve sonra Hizmeti iletişim sertifika kümesitıklatın.

    2. Doğru sertifikayı seçin.

  2. AD FS hizmeti sertifika Okuma iznine sahip olup olmadığını doğrulayın:

    1. Yerel bilgisayar hesabı için Sertifikalar ek bileşenini Microsoft Yönetim Konsolu (MMC) ekleyin.

    2. Sertifikalar (yerel bilgisayar)'ı genişletin > Kişisel > Sertifikalar.

    3. SSL sertifikasını sağ tıklatın, Tüm görevler ' i > Özel anahtarları Yönet.

    4. Adfssrv Okuma izni olan Grup ve kullanıcı adlarının altında listelenip listelenmediğini doğrulayın.

  3. Adfssrv listede yoksa, AD FS hizmet sertifikası için Okuma izni verin:

    1. Ekle' yi tıklatın, Konumlar' ı tıklatın, sunucuyu tıklatın ve sonra Tamam' ı tıklatın.

    2. Seçilecek nesne adlarını girinaltında nt service\adfssrvgirin, Check Namesdümesini tıklayın ve sonra da Tamam' ı tıklatın.
      AD FS aygıtı kayıt hizmeti (DRS) kullanıyorsanız, bunun yerine nt service\drs girin.

    3. Okuma izni verin ve sonra da Tamam' ı tıklatın.

Sorun aşılabilir?

AD FS'de DRS yapılandırılmış mı?

AD FS ile DRS yapılandırmışsanız, SSL sertifikası için RDS. gerektiği gibi yapılandırıldığından emin olun İki UPN sonekleri contoso.com ve fabrikam.com varsa, örneğin, sertifika enterpriseregistration.contoso.com ve enterpriseregistration.fabrikma.com konu diğer adı (SAN) olması gerekir.

SSL sertifikası doğru SANs olup olmadığını denetlemek için şu adımları izleyin:

  1. Aşağıdaki komutu çalıştırarak kuruluşta kullanılan tüm UPN soneklerini listeler:
    Get-AdfsDeviceRegistratrionUpnSuffix

  2. SSL sertifikası gerekli olup olmadığını doğrulamak SANs yapılandırılmış.

SSL sertifikası doğru DRS adlarına sahip olarak SANs?

Bu sorunu çözmek için doğru SANs DRS için olan yeni bir SSL sertifikası alın ve sonra AD FS için SSL sertifikası olarak kullanabilirsiniz.

Sorun aşılabilir?

WAP sunucularda SSL sertifikası doğru ayarlanmış olup olmadığını denetleyin

  1. SSL sertifikasının yüklü olduğundan emin olun her WAP sunucusundaki yerel bilgisayar Kişisel depoda.

  2. Aşağıdaki komutu çalıştırarak WAP tarafından kullanılan SSL sertifikası alın:
    Get-WebApplicationProxySslCertificate

  3. SSL sertifikası yanlış ise, aşağıdaki komutu çalıştırarak doğru SSL sertifikası ayarlayın:
    Set-WebApplicationProxySslCertificate -Thumbprint Thumbprint

Sertifikası bağlamalarını denetleyin ve gerekirse bunları güncelleştirin

SNI çalışmalarını desteklemek için Yöneticiler geri dönüş bağlamaları belirtebilir. Bağlama standart federationservicename:443 dışında aşağıdaki uygulama kimliklerine altında geri dönüş bağlamaları arayın:

  • {5d89a20c-beab-4389-9447-324788eb944a}
    AD FS için uygulama kodu budur.

  • {f955c070-e044-456c-ac00-e9e4275b3f04}
    Bu Web uygulaması proxy'si uygulama kimliğidir.

Örneğin, SSL sertifikası için 0.0.0.0:443 gibi bir geri dönüş bağlama belirtilirse, SSL sertifikası güncelleştirilir zaman bağlama buna göre güncelleştirilir emin olun.

Sorun aşılabilir?

  1. AD FS sunucuda, Sunucu Yöneticisi'ni açın.

  2. Sunucu Yöneticisi'nde, Araçlar > Hizmetler.

  3. Active Directory Federasyon Hizmetleri durumu çalışanolup olmadığını denetleyin.

Sorun aşılabilir?

Hızlı bir şekilde, AD FS hizmetin ve çalışan ve kimlik doğrulama işlevi düzgün şekilde çalışıp çalışmadığını doğrulamak için IdpInititatedSignOn sayfasını kullanın. IdpInitiatedSignOn sayfa açmak için şu adımları izleyin:

  1. IdpInitiatedSignOn sayfasını, AD FS sunucu üzerinde aşağıdaki komutu çalıştırarak etkinleştir:
    Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. Ağınızın dışında olan bir bilgisayarda, aşağıdaki sayfayı ziyaret edin:
    https://FederationInstance/adfs/ls/idpinitiatedsignon.aspx

  3. Oturum açma sayfasında geçerli kullanıcı kimlik bilgileri doğru girin.

Oturum başarılı mı?

Bu sorunu gidermek için aşağıdaki bileşenleri ve Hizmetleri denetleyin.

AD FS erişim doğrudan birine WAP (Web Application Proxy) sunucuları veya yük dengeleyici WAP sunucuları önünde işaret etmelidir. Aşağıdaki denetimleri yapın:

  • Federasyon Hizmeti adı (örneğin, fs.contoso.com) ping işlemi yapın. IP adresini Ping çözümler biri WAP sunucusunun veya WAP sunucusu yük dengeleyicinin olup olmadığını doğrulayın.

  • Bir A kaydı için DNS sunucusu Federasyon Hizmetinde olup olmadığını denetleyin. A kaydı, WAP sunuculardan biri veya WAP sunucusu yük dengeleyici işaret etmelidir.

WAP senaryonuz için dış erişim uygulanmazsa, kontrol birbirine doğrudan AD FS sunucularının veya AD FS sunucularının önünde yük dengeleyici ccessing AD FS puan:

  • Federasyon Hizmeti adı (örneğin, fs.contoso.com) ping işlemi yapın. Size IP adresini AD FS sunuculardan biri veya AD FS sunucularının yük dengeleyici giderip onaylayın.

  • DNS sunucusu, Federasyon Hizmeti için bir A kaydı olup olmadığını denetleyin. A kaydı, AD FS sunuculardan biri veya yük dengeleyici AD FS sunucularını göstermelidir.

Sorun aşılabilir?

  • Arasındaki trafiği güvenlik duvarı engelleme olmadığını denetleyin:

    • AD FS sunucu ve yük dengeleyici.

    • (Web Application Proxy) WAP server ve WAP kullanılırsa, yük dengeleyici.

  • Yoklama yük dengeleyici etkin olduğunda, aşağıdakileri denetleyin:

    • Windows Server 2012 R2 çalıştırıyorsanız, emin Ağustos 2014 güncelleştirme toplaması yüklenir.

    • AD FS sunucularının ve WAP sunucudaki Güvenlik Duvarı'nda bağlantı noktası 80 etkin olup olmadığını denetleyin.

    • Bu araştırma için 80 numaralı bağlantı noktası ve bitiş noktası /adfs/probe olarak ayarlandığından emin olun.

Sorun aşılabilir?

  1. TCP bağlantı noktası 443 üzerinden gelen trafik üzerinde etkin olup olmadığını denetleyin:

    • the güvenlik duvarı arasında Web Uygulama Proxy sunucusu ve Federasyon sunucu grubundaki.

    • istemciler ve Web Uygulama Proxy sunucu arasında güvenlik duvarı.

  2. Aşağıdaki koşullar doğru olduğunda gelen trafiğin TCP bağlantı noktası 49443 üzerinden istemcileri ve Web Uygulama Proxy sunucusu arasında bir güvenlik duvarı üzerinde etkin olup olmadığını denetleyin:

    • X.509 sertifikası kullanarak TLS istemcisi kimlik doğrulaması etkindir.

    • AD FS, Windows Server 2012 R2 üzerinde kullanıyor.

      Not: Web Uygulama Proxy sunucusu ve Federasyon sunucusu arasındaki güvenlik duvarı üzerinde yapılandırma gerekli değildir.

Sorun aşılabilir?

 

Sorun aşılabilir?

AD FS, farklı işlevleri ve senaryoları için çeşitli bitiş noktaları sağlar. Tüm bitiş noktası, varsayılan olarak etkindir. Mi denetlemek için aşağıdaki adımları proxy'sinde bitiş noktası etkinleştirilir:

  1. AD FS sunucu üzerinde AD FS yönetim konsolunu açın.

  2. Hizmet genişletin > Son noktalar.

  3. Son nokta bulun ve durum Proxy etkin sütunda etkin olup olmadığını doğrulayın.
    ADFS endpoints proxy status

 

Sorun aşılabilir?

Not: Bu sayfadaki bilgiler AD FS 2012 R2 ve daha sonra uygulanır.

Web Uygulama Proxy (WAP) dağıttıysanız, WAP sunucusu ve AD FS sunucu arasında proxy güven ilişkisi kurulmalıdır. Proxy güven ilişkisi kurulur veya zaman içinde bir noktada başarısız başlar denetleyin.

Arka plan bilgileri

İstemci sertifikası alarak proxy güven ilişkisi var. Sihirbaz, Web uygulaması proxy'si sonrası Yükleme Sihirbazı'nı çalıştırdığınızda, sihirbazda belirttiğiniz kimlik bilgileri kullanarak otomatik olarak imzalanan bir istemci sertifikası oluşturur. Daha sonra sihirbaz sertifikayı AD FS yapılandırma veritabanına ekler ve AD FS sunucu üzerinde AdfsTrustedDevices sertifika deposuna ekler.

Herhangi bir SSL iletişim için bir sertifika eşleştirmek için aşağıdaki öncelik sırası için SSL sertifikası bağlamalarını http.sys kullanır:

Öncelik

Adı

Parametreleri

Açıklama

1

IP

IP:port

Tam IP ve bağlantı noktası eşleme

2

SNI

Hostname:port

Tam ana bilgisayar adı eşleme (bağlantı SNI belirtmelisiniz)

3

CCS

Bağlantı noktası

Merkez sertifika deposu çağırma

1

IPv6 joker

Bağlantı noktası

Joker karakter eşleştirme IPv6 (IPv6 bağlantısı olmalıdır)

5

IP joker

Bağlantı noktası

Joker karakter eşleştirme IP (IPv4 veya IPv6 bağlantı bağlantısı olabilir)

AD FS 2012 R2 ve daha sonra üzerine http.sys bir hizmet olarak çalışır ve Internet Information Services (IIS) bağımsız. hostname:port SSL sertifikası bağlamalarını AD FS tarafından kullanılır. AD FS istemci sertifika kimlik doğrulaması sırasında AdfsTrustedDevices deposunda bulunan sertifikalar dayalı bir sertifika güven listesi (CTL) gönderir. Bir SSL sertifikası bağlama için AD FS sunucu IP: BağlantıNoktası kullanır veya CTL deposu AdfsTrustedDevices değil, proxy güven ilişkisi oluşturulamayabilir.

AD FS için SSL sertifikası bağlamalarını Al

AD FS sunucu üzerinde Windows PowerShell içinde aşağıdaki komutu çalıştırın:
netsh http show sslcert

5d89a20c-beab-4389-9447-324788eb944a uygulama kimliği olanlar verilen bağlamalar listesinde arayın. Sağlıklı bir bağlama örneği aşağıdadır. Kalın kısımları unutmayın.

Hostname:port : adfs.contoso.com:443
Certificate Hash : 3638de9b03a488341dfe32fc3ae5c480ee687793
Application ID : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : AdfsTrustedDevices
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled

Sorun giderme

Otomatik proxy güven ilişkileri ile ilgili sorunları algılamak için aşağıdaki komut dosyasını çalıştırın. Bir sorun algılandı üzerinde bağlı olarak, buna göre önlem sayfanın sonunda.

param

(

  [switch]$syncproxytrustcerts

)

function checkhttpsyscertbindings()

{

Write-Host; Write-Host("1 – Checking http.sys certificate bindings for potential issues")

$httpsslcertoutput = netsh http show sslcert

$adfsservicefqdn = (Get-AdfsProperties).HostName

$i = 1

$certbindingissuedetected = $false

While($i -lt $httpsslcertoutput.count)

{

        $ipport = $false

        $hostnameport = $false

        if ( ( $httpsslcertoutput[$i] -match "IP:port" ) ) { $ipport = $true }

        elseif ( ( $httpsslcertoutput[$i] -match "Hostname:port" ) ) { $hostnameport = $true }

        # Check for IP specific certificate bindings

        if ( ( $ipport -eq $true ) )

        {

            $httpsslcertoutput[$i]

            $ipbindingparsed = $httpsslcertoutput[$i].split(":")

            if ( ( $ipbindingparsed[2].trim() -ne "0.0.0.0" ) -and ( $ipbindingparsed[3].trim() -eq "443") )

            {

                $warning = "There is an IP specific binding on IP " + $ipbindingparsed[2].trim() + " which may conflict with the AD FS port 443 cert binding." | Write-Warning

                $certbindingissuedetected = $true

            }

            $i = $i + 14

            continue

        }

        # check that CTL Store is set for ADFS service binding

        elseif ( $hostnameport -eq $true )

        {

            $httpsslcertoutput[$i]

            $ipbindingparsed = $httpsslcertoutput[$i].split(":")

            If ( ( $ipbindingparsed[2].trim() -eq $adfsservicefqdn ) -and ( $ipbindingparsed[3].trim() -eq "443") -and ( $httpsslcertoutput[$i+10].split(":")[1].trim() -ne "AdfsTrustedDevices" ) )

            {

                Write-Warning "ADFS Service binding does not have CTL Store Name set to AdfsTrustedDevices"

                $certbindingissuedetected = $true

            }

        $i = $i + 14

        continue

        }

    $i++

}

If ( $certbindingissuedetected -eq $false ) { Write-Host "Check Passed: No certificate binding issues detected" }

}

function checkadfstrusteddevicesstore()

{

# check for CA issued (non-self signed) certs in the AdfsTrustedDevices cert store

Write-Host; Write-Host "2 – Checking AdfsTrustedDevices cert store for non-self signed certificates"

$certlist = Get-Childitem cert:\LocalMachine\AdfsTrustedDevices -recurse | Where-Object {$_.Issuer -ne $_.Subject}

If ( $certlist.count -gt 0 )

{

    Write-Warning "The following non-self signed certificates are present in the AdfsTrustedDevices store and should be removed"

    $certlist | Format-List Subject

}

Else { Write-Host "Check Passed: No non-self signed certs present in AdfsTrustedDevices cert store" }

}

function checkproxytrustcerts

{

    Param ([bool]$repair=$false)

    Write-Host; Write-Host("3 – Checking AdfsTrustedDevices cert store is in sync with ADFS Proxy Trust config")

    $doc = new-object Xml

    $doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")

    $connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString

    $command = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"

    $cli = new-object System.Data.SqlClient.SqlConnection

    $cli.ConnectionString = $connString

    $cmd = new-object System.Data.SqlClient.SqlCommand

    $cmd.CommandText = $command

    $cmd.Connection = $cli

    $cli.Open()

    $configString = $cmd.ExecuteScalar()

    $configXml = new-object XML

    $configXml.LoadXml($configString)

    $rawCerts = $configXml.ServiceSettingsData.SecurityTokenService.ProxyTrustConfiguration._subjectNameIndex.KeyValueOfstringArrayOfX509Certificate29zVOn6VQ.Value.X509Certificate2

    #$ctl = dir cert:\LocalMachine\ADFSTrustedDevices

    $store = new-object System.Security.Cryptography.X509Certificates.X509Store("ADFSTrustedDevices","LocalMachine")

    $store.open("MaxAllowed")

    $atLeastOneMismatch = $false

    $badCerts = @()

    foreach($rawCert in $rawCerts)

    {   

        $rawCertBytes = [System.Convert]::FromBase64String($rawCert.RawData.'#text')

        $cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(,$rawCertBytes)

        $now = Get-Date

        if ( ($cert.NotBefore -lt $now) -and ($cert.NotAfter -gt $now))

        {

            $certThumbprint = $cert.Thumbprint

         $certSubject = $cert.Subject

         $ctlMatch = dir cert:\localmachine\ADFSTrustedDevices\$certThumbprint -ErrorAction SilentlyContinue

         if ($ctlMatch -eq $null)

         {

       $atLeastOneMismatch = $true

          Write-Warning "This cert is NOT in the CTL: $certThumbprint – $certSubject"

       if ($repair -eq $true)

       {

        write-Warning "Attempting to repair"

        $store.Add($cert)

        Write-Warning "Repair successful"

       }

                else

                {

                    Write-Warning ("Please install KB.2964735 or re-run script with -syncproxytrustcerts switch to add missing Proxy Trust certs to AdfsTrustedDevices cert store")

                }

         }

        }

    }

    $store.Close()

    if ($atLeastOneMismatch -eq $false)

    {

     Write-Host("Check Passed: No mismatched certs found. CTL is in sync with DB content")

    }

}

checkhttpsyscertbindings

checkadfstrusteddevicesstore

checkproxytrustcerts($syncproxytrustcerts)

Write-Host; Write-Host("All checks completed.")

Algılanan sorun nedir?

IP: BağlantıNoktası bağlama en yüksek önceliği alır. IP: BağlantıNoktası bağlama AD FS SSL sertifikası bağlamalarını içinde ise, http.sys SSL iletişim için bağlama için her zaman sertifika kullanır. Bu sorunu çözmek için aşağıdaki yöntemleri kullanın.

Yöntem 1: IP: BağlantıNoktası bağlamayı Kaldır

Geri kaldırdıktan sonra IP: BağlantıNoktası bağlama gelebilir unutmayın. Örneğin, bu IP: BağlantıNoktası bağlama ile yapılandırılmış bir uygulama otomatik olarak yeniden sonraki hizmet başlatma üzerinde.

Yöntem 2: AD FS SSL iletişim için başka bir IP adresi kullanın

IP: BağlantıNoktası bağlama gerekiyorsa, FQDN ADFS hizmetini herhangi bağlantılarında kullanılan değil başka bir IP adresine çözmek. Böylece, http.sys Hostname:port bağlama iletişim için SSL kullanır.

Yöntem 3: Set AdfsTrustedDevices IP: BağlantıNoktası bağlama için CTL deposu olarak

Yukarıdaki yöntem kullanamıyorsanız, son çare budur. Ama daha iyi anlamak AdfsTrustedDevices için CTL deposu varsayılan değiştirmeden önce aşağıdaki koşulları:

  • Neden IP: BağlantıNoktası bağlama var mı.

  • Bağlama CTL depolamak için istemci sertifikası kimlik doğrulaması varsayılan kullanır,.

Sorun aşılabilir?

Azure AD Bağlan yüklediyseniz, AAD bağlanmak için AdfsTrustedDevices tüm AD FS sunucularda SSL sertifikası bağlamalarını CTL deposu adı ayarlamak için kullanın. Azure AD Bağlan yüklü değilse, AD FS sertifikası bağlamalarını tüm AD FS sunucularda aşağıdaki komutu çalıştırarak yeniden.
Set-AdfsSslCertificate -Thumbprint Thumbprint

Sorun aşılabilir?

Sertifikayı veren CA'ın sertifika deposunda otomatik olarak imzalanan sertifikalar yalnızca burada normalde var ise, depodan oluşturulan CTL yalnızca sertifikayı veren CA'yı içerir. AdfsTrustedDevices sertifika deposunda, yalnızca otomatik olarak imzalanan sertifikalar olması beklenir böyle bir deposudur. Bu sertifikalar şunlardır:

  • MS-Organizasyon-erişim: çalışma alanı birleştirme sertifika vermek için kullanılan otomatik olarak imzalanan sertifika.

  • ADFS proxy'si güven: Her Web uygulaması Proxy sunucusu sertifikaları.

AdfsTrustedDevices certificates

Bu nedenle, CA tarafından verilen sertifikalara AdfsTrustedDevices sertifika deposundan silinemiyor.

Sorun aşılabilir?

Bir AD FS sunucu ile bir proxy güven ilişkisi oluşturulduğunda, istemci sertifikası AD FS yapılandırma veritabanına yazılmış ve AD FS sunucu AdfsTrustedDevices sertifika deposuna eklenir. AD FS grubu dağıtımı için istemci sertifikası için diğer AD FS sunucularını eşitlenmiş beklenir. Herhangi bir nedenden dolayı eşitleme gerçekleşmez ise, proxy güven ilişkisi karşı güveni AD FS sunucu, ancak diğer AD FS sunucularını karşı değil yalnızca çalışır.

Bu sorunu çözmek için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1

KB 2964735 ' de belgelenen güncelleştirmeyi yüklemek tüm AD FS sunucularda. Güncelleştirme yüklendikten sonra istemci sertifikasının bir eşitleme otomatik olarak gerçekleştirilmesi bekleniyor.

Yöntem 2

Komut dosyasını çalıştırmak AD FS yapılandırma veritabanından istemci sertifikalarını AdfsTrustedDevices sertifika deposuna el ile eşitlemek için – syncproxytrustcerts anahtarı. Komut dosyası, gruptaki tüm AD FS sunucularda çalıştırılmalıdır.

İstemci sertifikaları düzenli olarak yenilenmesi çünkü bu kalıcı bir çözüm olmadığını unutmayın.

Sorun aşılabilir?

Bir saat veya saat dilimi uyuşmazlığı olup olmadığını denetleyin. Zaman zaman bölge değildir eşleşirse, proxy güven ilişkisinin kurulması de başarısız olur.

Sorun aşılabilir?

SSL sonlandırma WAP server AD FS sunucularının arasında bir ağ aygıtı oluşuyorsa, çünkü iletişim istemci sertifikasına dayalı AD FS WAP arasındaki iletişimi kesintiye uğrar.

AD FS ve WAP sunucuları arasındaki ağ aygıtı üzerinde SSL sonlandırmayı devre dışı bırakın.

Sorun aşılabilir?

Windows tümleşik kimlik doğrulaması ayarları istemci tarayıcısında, AD FS ayarlar ve kimlik doğrulama isteği parametreleri denetleyin.

Kullanıcının istemci tarayıcısına denetleyin

Internet Seçenekleri iletişim kutusundaki aşağıdaki ayarları kontrol edin:

  • Gelişmiş sekmesinde, Tümleşik Windows kimlik doğrulamasını etkinleştir ayarı etkin olduğundan emin olun.

  • Aşağıdaki Güvenlik > Yerel intranet > siteleri > Gelişmiş, URL AD FS Web siteleri listesinde olduğundan emin olun.

  • Aşağıdaki Güvenlik > Yerel intranet > Özel düzey, yalnızca Intranet bölgesinde otomatik oturum açma ayarı seçili olduğundan emin olun.

Firefox, Chrome veya Safari kullanıyorsanız, bu tarayıcılar eşdeğer ayarlarında etkinleştirildiğinden emin olun.

AD FS ayarlarını denetleyin

WindowsIntegratedFallback ayarını denetleyin

  1. Windows PowerShell ile Çalıştır seçeneği yönetici olarak açın.

  2. Aşağıdaki komutu çalıştırarak genel kimlik doğrulama ilkesini alın:
    Get-ADFSGlobalAuthenticationPolicy

  3. WindowsIntegratedFallbackEnbaled özniteliğinin değerini inceleyin.

Değer Trueolursa, form tabanlı kimlik doğrulama bekleniyor. Bu kimlik doğrulama isteği Windows tümleşik kimlik doğrulamasını desteklemeyen bir tarayıcıdan gelen anlamına gelir. Tarayıcınızın desteklediği almak hakkında sonraki bölüme bakın.

Değer Falseise, Windows tümleşik kimlik doğrulaması beklenmelidir.

WIASupportedUsersAgents ayarını denetleyin

  1. Aşağıdaki komutu çalıştırarak desteklenen kullanıcı aracıları listesini alın:
    Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  2. Komutu veren kullanıcı aracısı dizeleri listesini inceleyin.

Kullanıcı aracı dizesi, tarayıcının listede olup olmadığını doğrulayın. Aksi halde, aşağıdaki adımları izleyerek kullanıcı aracı dizesini ekleyin:

  1. Algılar ve kullanıcı aracı dizesi, tarayıcının gösterir http://useragentstring.com/ için gidin.

  2. Aşağıdaki komutu çalıştırarak desteklenen kullanıcı aracıları listesini alın:
    $wiaStrings = Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

  3. Kullanıcı aracı dizesi, tarayıcının aşağıdaki komutu çalıştırarak ekleyin:
    $wiaStrings = $wiaStrings+"NewUAString"
    Örnek:$wiaStrings = $wiaStrings+" =~Windows\s*NT.*Edge"+"Mozilla/5.0"

  4. WIASupportedUserAgents ayarı, aşağıdaki komutu çalıştırarak güncelleştirmek:
    Set-ADFSProperties -WIASupportedUserAgents $wiaStrings

Kimlik doğrulama isteği parametrelerini denetleyin

Kimlik doğrulama isteği form tabanlı kimlik doğrulaması kimlik doğrulama yöntemi olarak belirtirse denetleyin

  1. Kimlik doğrulama isteği bir ise WS-Federasyon isteği, onay isteği içeriyorsa, wauth = urn: OASIS: adı: tc: SAML:1.0:am:password.

  2. Kimlik doğrulama isteği SAML isteği ise, istek içerip içermediğini kontrol edin bir samlp:AuthnContextClassRef öğe değer Urn: OASIS: adı: tc: SAML:2.0:ac:classes:Passwordile.

Daha fazla bilgi için bkz: oturum sayfalarıAD FS kimlik doğrulama işleyicileri bakış.

Uygulama Microsoft Çevrimiçi Hizmetler için Office 365 olup olmadığını denetle

Erişmek istediğiniz uygulama Microsoft Çevrimiçi Hizmetler değilse, ne deneyimi beklenir ve gelen kimlik doğrulama isteği tarafından denetlenen . Uygulama sahip iş davranışını değiştirmek için.

Uygulama Microsoft Çevrimiçi Hizmetler ise ne deneyimi tarafından kontrol edilebilir PromptLoginBehavior ayarı Güvenilen Bölge nesneden. Bu ayarı denetimlerini Azure AD kiracılar istem göndermek mi = AD FS için oturum açma. Ayarlamak için PromptLoginBehavior ayarBu izleyin adımları:

  1. Windows PowerShell "Yönetici olarak çalıştır" seçeneği ile açın.

  2. Aşağıdaki komutu çalıştırarak varolan etki alanının Federasyon ayarlarını al:
    Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

  3. Aşağıdaki komutu çalıştırarak PromptLoginBehavior ayarını ayarlayın:
    Set-MSOLDomainFederationSettings -DomainName DomainName -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled> -SupportsMFA <$TRUE|$FALSE> -PreferredAuthenticationProtocol <WsFed|SAMLP>

    PromptLoginBehavior parametresi için değerler şunlardır:

    1. TranslateToFreshPasswordAuth: istemi yerine AD FS için Azure AD gönderir wauth ve wfresh = oturum açma. Bu müşteri adayları bir kimlik doğrulama isteği form tabanlı kimlik doğrulaması kullanmak için.

    2. NativeSupport: komut istemi = oturum açma parametresi için AD FS olarak gönderilir.

    3. Devre dışı: hiçbir şey için AD FS gönderilir.

Set-MSOLDomainFederationSettings komutu hakkında daha fazla bilgi için bkz: Active Directory Federasyon Hizmetleri sor = oturum açma parametresi destek.

Sorun aşılabilir?

Çok faktörlü kimlik doğrulama, bir tarafın, bir AD FS sunucuda etkinleştirilmiş veya bir kimlik doğrulama isteği parametresinde belirtilen. Doğru şekilde ayarlandıklarından olmadığını görmek için yapılandırmalarını denetleyin. Çok faktörlü kimlik doğrulama,'re art arda için istemde beklenir, çok faktörlü kimlik talepleri aracılığıyla uygulamaya geçirilir, görmek için bağlı parti verme kurallarını denetleyin.

AD FS'de çok faktörlü kimlik doğrulama hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

AD FS sunucu ve tarafın yapılandırmasını denetleyin

AD FS sunucu yapılandırmasını denetlemek için genel ek kimlik doğrulama kuralları doğrulayın. Tarafın yapılandırmasını denetlemek için bağlı şirketlerin güven için ek kimlik doğrulama kuralları doğrulayın.

  1. AD FS sunucu yapılandırmasını denetlemek için Windows PowerShell penceresinde aşağıdaki komutu çalıştırın.
    Get-ADFSAdditionalAuthenticationRule

    Tarafın yapılandırmasını denetlemek için aşağıdaki komutu çalıştırın:
    Get-ADFSRelyingPartyTrust -TargetName RelyingParty | Select -ExpandProperty AdditionalAuthenticationRules

    Not: Hiçbir şey komutları dönerseniz, ek kimlik doğrulama kuralları yapılandırılmaz. Bu bölümü atlayabilirsiniz.

  2. Yapılandırılmış ayarlamak talep kuralına uyun.

Çok faktörlü kimlik doğrulama talebi kural kümesinde etkin olup olmadığını doğrulayın.

Talep kural kümesi aşağıdaki bölümleri oluşur:

  • Koşul ifadesi:C:[Type=…,Value=…]

  • Sorun bildirimi:=> issue (Type=…,Value=…)

Sorun bildirimi aşağıdaki talep varsa, çok faktörlü kimlik doğrulama belirtildi.
Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn"

Extranet erişimi ve birleştirilmiş çalışma alanı olmayan aygıtlar için sırasıyla kullanılmak üzere, çok faktörlü kimlik doğrulama gerektiren örnekler şunlardır:

  • c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn")

  • c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn")

Bağlı parti verme kurallarını denetleme

Bunlar birinci kimlik doğrulama gerçekleştirildikten sonra kullanıcı art arda çok faktörlü kimlik doğrulama istekleri alırsa, yanıtlama taraf çok faktörlü kimlik talepleri uygulama üzerinden geçen değil mümkündür. Kimlik talepleri arasında geçirilirse denetlemek için şu adımları izleyin:

  1. Windows PowerShell içinde aşağıdaki komutu çalıştırın:
    Get-ADFSRelyingPartyTrust -TargetName ClaimApp

  2. Kural kümesi IssuanceAuthorizationRules veya IssuanceAuthorizationRulesFile öznitelikleri tanımlı uyun.

Kural kümesi çok faktörlü kimlik doğrulama talep geçirmek için aşağıdaki verme kural içermelidir:
C:[Type==http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod, Value==” http://schemas.microsoft.com/claims/multipleauthn”]=>issue(claim = c)

Kimlik doğrulama isteği parametreyi denetleyin

Kimlik doğrulama isteği, çok faktörlü kimlik doğrulama kimlik doğrulama yöntemi olarak belirtirse denetleyin

  • Kimlik doğrulama isteği bir ise WS-Federasyon isteği, onay isteği içeriyorsa, wauth http://schemas.microsoft.com/claims/multipleauthn =.

  • Kimlik doğrulama isteği SAML isteği ise, istek içerip içermediğini kontrol edin bir samlp:AuthnContextClassRef öğe değeri http://schemas.microsoft.com/claims/multipleauthnile.

Daha fazla bilgi için bkz: oturum sayfalarıAD FS kimlik doğrulama işleyicileri bakış.

Uygulama Microsoft Çevrimiçi Hizmetler için Office 365 olup olmadığını denetle

Erişmek istediğiniz uygulama Microsoft Çevrimiçi Hizmetler için Office 365 ise, SupportsMFA etki alanının Federasyon ayarını denetleyin.

  1. Aşağıdaki komutu çalıştırarak geçerli SupportsMFA etki alanının Federasyon ayarlarını al:
    Get-MSOLDomainFederationSettings -DomainName DomainName | FL *

  2. SupportsMFA ayarı FALSE ise, TRUE aşağıdaki komutu çalıştırarak olarak ayarlayın:
    Set-MSOLDomainFederationSettings -DomainName DomainName -SupportsMFA $TRUE

Sorun aşılabilir?

Aşağıdaki komutu çalıştırarak komut istemi = oturum açma özelliği devre dışı bırakın:
Set-MsolDomainFederationSettings –DomainName DomainName -PromptLoginBehavior Disabled

Her kimlik doğrulama isteğinde sor = oturum açma parametresi, sonra bu komutu çalıştırmak, Office 365 uygulamaları içermezler.

Sorun aşılabilir?

İsteği parametre beklenen kimlik doğrulama yöntemi kullanacak şekilde değiştirin.

Sorun aşılabilir?

SSO devre dışı bırakılmışsa etkinleştirin.

Sorun aşılabilir?

Tebrikler! SSO sorunu çözüldü.

Biz sorun devam ediyorsa özür dileriz. Sorununuzla ilgili ayrıntıları içeren anket doldurursanız, veriyoruz.

Bu kılavuz ne yapıyor?

Çözümler çoklu oturum açma (SSO) Active Directory Federasyon Hizmetleri (AD FS) verir.

Onun için kim?

Yardım yöneticileri, kullanıcılarına yönelik SSO sorunlarını tanılamak.

Nasıl çalışır?

Kullanıcıların karşılaştığı sorun isteyerek başlaması. Sonra biz bir dizi sorun giderme adımları için durumunuza özel değerli.

Tahmini Tamamlanma saati:

30-45 dakika.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×