Аутентификация ADFS-IE8 работает, Chrome терпит неудачу
Итак, веб-сайт настроен для аутентификации ADFS 2.0...
для IE-он отлично работает и сделал аутентификацию правильной
для Chrome-он достигает перенаправления на сервер AD FS... попросите аутентифицировать, но не удалось аутентифицировать.
Я пытаюсь запрашивать с помощью fiddler, но он не показывает ничего интересного - поэтому покажите, что мы перенаправляем в adfs для аутентификации, но не более
что это может быть? почему невозможно аутентифицировать для хром
спасибо
3 ответов
в средстве просмотра событий вы увидите событие "сбой аудита"с" Status: 0xc000035b". Эту проблему можно обойти, отключив "расширенную защиту" для веб-приложения adfs/ls.
в интернете есть несколько статей об этом, например "ошибка 0xc000035b во время интегрированного входа в систему windows" поток на форуме Microsoft AD FS. Цитата:
включить расширенную защиту от, на сервер AD FS, запустите диспетчер IIS, затем, на левой стороне дерева, сайты доступа - > веб-сайт по умолчанию - > adfs - > общ. Как только вы выберете папка" /adfs/ls", дважды щелкните Значок аутентификации, затем щелкните правой кнопкой мыши Проверка подлинности Windows и выберите Дополнительные настройки ... на Advanced Диалоговое окно "Параметры", выберите " off " для Расширенная Защита.
эта проблема возникает в нескольких ситуациях, о которых я знаю: при использовании Firefox 3.5+ или Chrome, используя определенную конфигурацию NTLM, для которой у меня нет подробности под рукой и при использовании Fiddler (см. "AD FS 2.0: постоянно запрашиваются учетные данные при использовании веб-отладчика Fiddler" пост статьи TechNet и "скрипач и канал-привязка-токены" сообщение в блоге, которое содержит более техническую справочную информацию).
(обратите внимание, что нигде я не мог найти никакой информации о том, как сделать аутентификацию NTLM в AD FS, например, Google Chrome и Firefox 3.5+ work без выключение "Расширенная Защита". Я имею в виду, Internet Explorer работает с "расширенной защитой", почему не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки NTLM Windows?)
От Microsoft:http://technet.microsoft.com/en-us/library/hh852537.aspx
Если и до Firefox, Google Chrome и Safari поддержка расширена Защита для проверки подлинности, рекомендуется установить и использовать Internet Explorer 10 или более поздней версии. Если вы хотите использовать один войдите в Office 365 с помощью Firefox, Google Chrome или Safari, там два других решения: (1) Удалите расширенные исправления защиты от вашего компьютер. (2) Измените расширенную настройку защиты на Сервер служб Федерации Active Directory 2.0. Видеть "ExtendedProtectionTokenCheck" на странице TechNet Set-ADFSProperties относительно деталей.
отключение расширенной защиты не является ответом. Вы добавляете chrome, чтобы adfs могли его распознать, а затем добавляете сайт в список надежных.
убедитесь, что chrome поддерживается adfs. Итак, если вы выполните следующие команды:
$a=Get-Adfsproperties
$a.WIASupportedUserAgents
затем вы добавляете chrome в список.
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")
теперь нам нужно будет сказать Chrome, что он должен разрешить встроенную аутентификацию Windows для сайта.
для этого вам нужно зайти в настройки: Нажмите на дополнительно Нажмите на Настройки прокси-сервера Он должен открыть ваши свойства IE. Нажмите на безопасность и выберите "локальная интрасеть" и добавьте имя службы Федерации ваших ADFS здесь. Нажмите кнопку Закрыть и применить в разделе свойства IE. Перезапустите Chrome, и в следующий раз при попытке доступа к сайту он не будет запрашивать учетные данные.
Это было решение, представленное на работе, чтобы позволить SSO с Chrome без отключения расширенной защиты. Ура для поддержки MS.