Аутентификация ADFS - IE8 работает, Chrome не работает

Question

Итак, веб-сайт настроен для аутентификации ADFS 2.0 ...

для IE - он работает нормально и правильно выполнил аутентификацию

для Chrome - он достигает перенаправления на сервер AD FS... запросить проверку подлинности, но не удалось выполнить проверку подлинности.

Я пытаюсь выполнить запросы, используя fiddler, но он не показывает ничего интересного - поэтому покажите, что мы перенаправляем на adfs для проверки подлинности, но не более

что это может быть?почему невозможно пройти аутентификацию для chrome

спасибо

Answer 1

В окне просмотра событий вы увидите событие «Ошибка аудита» со статусом: 0xc000035b.Вы можете обойти эту проблему, отключив «Расширенная защита» для веб-приложения adfs / ls.

В Интернете есть несколько статей, например, "Ошибка 0xc000035b при интегрированном входе в Windows" ветка на форуме Microsoft AD FS.Цитата:

Чтобы отключить расширенную защиту, на сервере AD FS запустите диспетчер IIS, затем в левой части дерева перейдите на Сайты -> Веб-сайт по умолчанию -> adfs -> ls.Выбрав папку «/ adfs / ls», дважды щелкните значок «Аутентификация», затем щелкните правой кнопкой мыши Аутентификация Windows и выберите «Дополнительные параметры»… В диалоговом окне «Дополнительные параметры» выберите «Выкл. Для расширенной защиты».

Эта проблема возникает в нескольких известных мне ситуациях: при использовании Firefox 3.5+ или Chrome, при использовании какой-то конкретной конфигурации NTLM, для которой у меня нет подробностей, и при использовании Fiddler (см. "AD FS 2.0: постоянно запрашиваются учетные данные при использовании веб-отладчика Fiddler " статья в статье TechNet и " Fiddler and Channel-Binding-Tokens " запись в блоге, которая содержит дополнительную техническую информацию).

(Обратите внимание, что нигде я не смог найти никакой информации о том, как заставить NTLM-аутентификацию в AD FS, например, из Google Chrome и Firefox 3.5+ работать без отключения "Расширенной защиты". Я имею в виду ИнтернетПроводник работает с «Расширенная защита», почему бы не Chrome или Firefox? Или это Chrome/ Ошибка / ограничение реализации Firefox, например, при использовании библиотеки Windows NTLM?)

Answer 2

Отключение расширенной защиты не является ответом. Вы добавляете Chrome, чтобы adfs мог его распознать, а затем добавили сайт в список доверенных.

Убедитесь, что chrome поддерживается adfs. Итак, если вы запустите следующие команды:

$a=Get-Adfsproperties 
$a.WIASupportedUserAgents

Затем вы добавляете хром в список.

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

Теперь нам нужно сообщить Chrome, что он должен использовать встроенную аутентификацию Windows для сайта.

Для этого вам нужно будет зайти в настройки: Нажмите на Расширенный Нажмите на настройки прокси Это должно открыть ваши свойства IE. Нажмите «Безопасность» и выберите «Локальная интрасеть» и добавьте здесь имя службы федерации вашей ADFS. Нажмите «Закрыть» и «Применить» в разделе «Свойства IE». Перезапустите Chrome, и в следующий раз, когда вы попытаетесь зайти на сайт, он не будет запрашивать учетные данные.

Это решение, представленное на работе, позволяющее SSO с Chrome БЕЗ отключения функции расширенной защиты. Приветствия для поддержки MS.

Answer 3

От Microsoft: http://technet.microsoft.com/en-us/library/hh852537.aspx

Если только Firefox, Google Chrome и Safari не поддерживают расширенную поддержку Защита для аутентификации, рекомендуемый вариант - установить и использовать Internet Explorer 10 или более поздней версии. Если вы хотите использовать один войдите в Office 365 с помощью Firefox, Google Chrome или Safari, там Есть два других решения: (1) Удалите исправления расширенной защиты с вашего компьютера. (2) Измените настройку расширенной защиты на Сервер Службы федерации Active Directory 2.0. Увидеть «ExtendedProtectionTokenCheck» на странице TechNet Set-ADFSProperties для деталей.