Пасивний запит федерації не вдається виконати під час доступу до програми за допомогою AD FS і Forms Authentication після попереднього підключення до Microsoft Dynamics CRM також за допомогою AD FS

Застосовується до
Dynamics CRM 2013 Microsoft Dynamics CRM 2013 Service Pack 1 Dynamics CRM 2015

Ознаки

Під час доступу до програми, наприклад SharePoint, яка використовує AD FS і автентифікацію форм після попереднього підключення до Microsoft Dynamics CRM з автентифікацією на основі тверджень, виникає помилка запиту пасивного об'єднання.

Помилка:

Сталася помилка під час пасивного запиту федерації.
Додаткові дані
Ім'я протоколу:
Сторона, що покладається:
Відомості про виняток:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: на шляху /adfs/ls/ немає зареєстрованих обробників протоколів для обробки вхідного запиту.
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Сценарій виходу:
За 20 хвилин до завершення терміну дії маркера нижче відображається діалогове вікно з параметрами Увійти або Скасувати. Натискання кнопки Увійти не переспрямовує на сторінку входу ADFS із запитом на введення імені користувача та пароля. Натомість на ній відображається сторінка ADFS, вихід із системи. Referece – термін дії автентифікації та маркера безпеки на основі тверджень.

c971e483-3aa4-9c63-427b-8a64639ed93d

Причина

Ця проблема виникає через повторюваний файл cookie MSISAuth, виданий Microsoft Dynamics CRM як файл cookie домену із простором імен AD FS. Це ім'я файлу cookie не унікальне, і коли використовується інша програма, наприклад SharePoint, вона відображається з повторюваним файлом cookie. Це призводить до помилки автентифікації.

Сценарій "Вихід із системи" викликано файлом cookie Sign Out, виданим Microsoft Dynamics CRM як файл cookie домену, див. нижче приклад. Цей файл cookie – це файл cookie домену, який відображається в ADFS, він розглядається для всього домену, наприклад *.contoso.com/. Це призводить до помилки потоку повторної автентифікації, і ADFS представляє сторінку виходу.

Set-Cookie: MSISSignOut=; domain=contoso.com; шлях=/; Безпечний; HttpOnly

Спосіб усунення проблеми

Щоб вирішити цю проблему, потрібно настроїти Microsoft Dynamics CRM зі значенням дочірнього домену, наприклад crm.domain.com. Для цього знадобиться інший сертифікат wild card, наприклад *.crm.domain.com.

Після виконання цих змін потрібно повторно настроїти автентифікацію на основі тверджень і IFD, використовуючи правильні кінцеві точки, як показано нижче:

  1. Auth.<subdomain.domain.com>
  2. Dev.<subdomain.domain.com>
  3. Org.<subdomain.domain.com>

      

Додаткові відомості

Додаткові відомості про настроювання автентифікації на основі тверджень і IFD для Microsoft Dynamics CRM див. за посиланням:

Настроювання автентифікації на основі тверджень для сервера Microsoft Dynamics CRM