Аутентификация ADFS - работает IE8, Chrome не работает

Ответ 1

В средстве просмотра событий вы увидите событие "Сбой аудита" с "Статус: 0xc000035b". Вы можете обойти эту проблему, отключив "Расширенная защита" для веб-приложения adfs/ls.

В Интернете есть несколько статей, например, "0xc000035b ошибка при подключении к Windows" на форуме Microsoft AD FS. Цитирование:

Чтобы отключить расширенную защиту, нажмите сервер AD FS, запуск диспетчера IIS, затем, в левом боковом представлении, сайты доступа → Веб-сайт по умолчанию → adfs → ls. Как только вы выберете "/adfs/ls", дважды щелкните Значок аутентификации, затем щелкните правой кнопкой мыши Аутентификация Windows и выбор Дополнительные настройки... В расширенном режиме Диалог настроек, выберите "Выкл." Для Расширенная защита.

Эта проблема возникает в нескольких ситуациях, о которых я знаю: при использовании Firefox 3.5+ или Chrome, используя определенную конфигурацию NTLM, для которой у меня нет данных, и при использовании Fiddler (см. "AD FS 2.0: постоянно запрашивается учетные данные при использовании веб-отладчика Fiddler" в статье TechNet и "Фиддлер и привязка к каналам-токенам" в блоге, в котором содержится больше технической информации).

(Обратите внимание, что нигде я не мог найти информацию о том, как сделать проверку подлинности NTLM в AD FS, например, Google Chrome и Firefox 3.5+, без отключения "Расширенная защита". Я имею в виду, что Internet Explorer работает с расширенной защитой, почему не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки Windows NTLM?)

Ответ 2

От Microsoft: http://technet.microsoft.com/en-us/library/hh852537.aspx

Пока и до тех пор, пока Firefox, Google Chrome и Safari не будут поддерживаться Extended Защита для проверки подлинности, рекомендуется установить и используйте Internet Explorer 10 или более поздней версии. Если вы хотите использовать одиночный вход для Office 365 с Firefox, Google Chrome или Safari, там являются двумя другими решениями: (1) Удалите исправления расширенной защиты с вашего компьютера. (2) Измените параметр Расширенная защита на Сервер службы федерации Active Directory 2.0. Видеть "ExtendedProtectionTokenCheck" на странице TechNet Set-ADFSProperties для деталей.

Ответ 3

Отключение расширенной защиты - это не ответ. Вы добавляете хром, чтобы adfs могли его распознать, а затем добавить сайт в надежный список.

Убедитесь, что хром поддерживается adfs. Итак, если вы выполните следующие команды:

$a=Get-Adfsproperties 
$a.WIASupportedUserAgents

Затем вы добавляете хром в список.

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

Теперь нам нужно сообщить Chrome, что он должен разрешить Windows Integrated Auth для сайта.

Для этого вам нужно будет перейти к настройкам: Нажмите "Дополнительно" Нажмите "Настройки прокси" Он должен открыть IE Свойства. Нажмите "Безопасность" и выберите "Локальная интрасеть" и добавьте здесь имя службы федерации вашей ADFS. Нажмите "Закрыть" и "Применить" в разделе "Свойства IE". Перезагрузите Chrome и в следующий раз, когда вы попытаетесь получить доступ к сайту, он не будет запрашивать у вас учетные данные.

Это было решение, представленное на работе, чтобы разрешить SSO с Chrome без отключения расширенной защиты. Приветствия для поддержки MS.