Federovaný uživatel se opakovaně zobrazí výzva k zadání přihlašovacích údajů během přihlašování Office 365, Azure nebo Intune.

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Důležité

Tento článek obsahuje informace, které vám pomůžou snížit nastavení zabezpečení nebo jak vypnout funkce zabezpečení na počítači. Tyto změny můžete provést, abyste vyřešili konkrétní problém. Před provedením těchto změn doporučujeme vyhodnotit rizika spojená s implementací tohoto alternativního řešení ve vašem konkrétním prostředí. Pokud toto alternativní řešení implementujete, udělejte další vhodné kroky k ochraně počítače.

Problém

Federovaný uživatel se opakovaně zobrazí výzva k zadání přihlašovacích údajů, když se uživatel pokusí ověřit koncový bod služby AD FS (Active Directory Federation Services) během přihlašování k cloudové službě Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune. Když se uživatel zruší, zobrazí se uživateli chybová zpráva o odepření přístupu.

Příčina

Příznak označuje problém s Windows integrovaného ověřování se službou AD FS. K tomuto problému může dojít, pokud platí jedna nebo více z následujících podmínek:

  • Použili jsme nesprávné uživatelské jméno nebo heslo.

  • Internetová informační služba (IIS) jsou nastavení ověřování ve službě AD FS nastavena nesprávně.

  • Hlavní název služby (SPN), který je přidružený k účtu služby, který se používá ke spuštění farmy federačních serverů služby AD FS, je ztracený nebo poškozený.

    Poznámka

    K tomu dochází jenom v případě, že je služba AD FS implementována jako farma federačních serverů a není implementována v samostatné konfiguraci.

  • Extended Protection for Authentication (Rozšířená ochrana pro ověřování) identifikovala jednu nebo více z těchto možností jako zdroj útoku muže uprostřed:

    • Některé internetové prohlížeče třetích stran
    • Brána firewall podnikové sítě, nástroj pro vyrovnávání zatížení sítě nebo jiné síťové zařízení publikuje federační službu AD FS na internet tak, aby mohla být data datové části ip adresy přepsána. To může obsahovat následující typy dat:
      • protokol SSL (Secure Sockets Layer) (SSL)

      • Přesměrování načítání SSL

      • Filtrování stavových paketů

        Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

        2510193 podporované scénáře pro použití služby AD FS k nastavení jednotného přihlašování Office 365, Azure nebo Intune

    • Na klientském počítači je nainstalovaná nebo aktivní aplikace pro monitorování nebo dešifrování SSL
  • Řešení dns (Domain Name System) koncového bodu služby AD FS se provádělo prostřednictvím vyhledávání záznamů CNAME místo vyhledávání záznamů A.

  • Windows Internet Explorer není nakonfigurovaný tak, aby předá Windows integrované ověřování na server služby AD FS.

Než začnete vyřešit potíže

Zkontrolujte, že příčinou problému není uživatelské jméno a heslo.

  • Ujistěte se, že se používá správné uživatelské jméno a že je ve formátu hlavního názvu uživatele (UPN). Například . johnsmith@contoso.com

  • Ujistěte se, že je použito správné heslo. Pokud chcete zkontrolovat, jestli se používá správné heslo, budete možná muset resetovat uživatelské heslo. Další informace najdete v následujícím článku Microsoft TechNetu:

    Resetování uživatelského hesla

  • Ujistěte se, že účet není uzamčený, vypršela platnost ani se nepoužíl mimo určené přihlašovací hodiny. Další informace najdete v následujícím článku Microsoft TechNetu: Správa uživatelů

Ověření příčiny

Pokud chcete zkontrolovat, že tento problém způsobují problémy s protokolem Kerberos, dočasně obejdete ověřování protokolem Kerberos povolením ověřování založeného na formulářích ve farmě federačních serverů služby AD FS. Postupujte takto:

Krok 1: Úprava web.config na každém serveru ve farmě federačních serverů služby AD FS

  1. V Windows Průzkumníka najděte složku C:\inetpub\adfs\ls\ a vytvořte záložní kopii web.config souboru.

  2. Klikněte na Start, klikněte na Všechny programy, na Příslušenství, pravým tlačítkem myši klikněte na Poznámkový blok a potom klikněte na Spustit jako správce.

  3. V nabídce Soubor klikněte na Otevřít. Do pole Název souboru zadejte C:\inetpub\adfs\ls\web.config a potom klikněte na Otevřít.

  4. V web.config souboru postupujte takto:

    1. Vyhledejte řádek, který obsahuje <authentication mode> , a změňte ho na <authentication mode="Forms"/> .

    2. Vyhledejte oddíl, který začíná písmenem a potom změňte oddíl tak, aby <<localAuthenticationTypes> název="Formuláře"> položka uvedená jako první, takto:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. V nabídce Soubor klikněte na Uložit.

  6. Na příkazovém řádku se zvýšenými oprávněními restartujte službu IIS pomocí příkazu iisreset.

Krok 2: Testování funkcí služby AD FS

  1. Na klientském počítači, který je připojený a ověřený k místnímu služba AD DS, se přihlaste k portálu cloudové služby.

    Místo bezproblémového ověřování by mělo docházet k přihlášení založenému na formulářích. Pokud je přihlášení úspěšné pomocí ověřování založeného na formulářích, potvrzuje se tím, že ve službě AD FS Federation Service existuje problém s protokolem Kerberos.

  2. Před tím, než budete postupovat podle pokynů v části Řešení, se konfigurace jednotlivých serverů ve farmě federačních serverů služby AD FS vrátí na předchozí nastavení ověřování. Pokud chcete vrátit konfiguraci každého serveru ve farmě federačních serverů služby AD FS, postupujte takto:

    1. V Windows Průzkumníka najděte složku C:\inetpub\adfs\ls\ a potom odstraňte web.config souboru.
    2. Přesuňte zálohu souboru web.config, který jste vytvořili v části "Krok 1: Úprava souboru web.config na každém serveru ve farmě federačního serveru služby AD FS", do složky C:\inetpub\adfs\ls.
  3. Na příkazovém řádku se zvýšenými oprávněními restartujte službu IIS pomocí příkazu iisreset.

  4. Zkontrolujte, že se chování ověřování služby AD FS vrátí k původnímu problému.

Řešení

Pokud chcete vyřešit problém s protokolem Kerberos, který omezuje ověřování pomocí služby AD FS, použijte jednu nebo více z následujících metod podle situace.

Řešení 1: Resetování nastavení ověřování služby AD FS na výchozí hodnoty

Pokud je nastavení ověřování služby IIS služby AD FS nesprávné nebo nastavení ověřování služby IIS pro služby AD FS Federation Services a proxy služby se neshoduje, je jedním z řešení resetování všech nastavení ověřování služby IIS na výchozí nastavení služby AD FS.

Výchozí nastavení ověřování je uvedené v následující tabulce.

Virtuální aplikace Úrovně ověřování
Výchozí web/adfs Anonymní ověřování
Výchozí web/adfs/ls Anonymní ověřování, Windows ověřování

Na každém federačním serveru AD FS a na každém proxy federačního serveru SLUŽBY AD FS použijte informace v následujícím článku Microsoft TechNetu k obnovení výchozího nastavení ověřování virtuálních aplikací služby IIS služby AD FS:

Konfigurace ověřování ve službě IIS 7

Řešení 2: Opravte hlavní název SPN farmy federačních serverů služby AD FS.

Poznámka

Toto řešení vyzkoušejte jenom v případě, že je služba AD FS implementovaná jako farma federačních serverů. Toto řešení nezkoušejte v samostatné konfiguraci služby AD FS.

Pokud chcete tento problém vyřešit, pokud dojde ke ztrátě nebo poškození SPN služby AD FS u účtu služby AD FS, postupujte takto na jednom serveru ve farmě federačních serverů služby AD FS:

  1. Otevřete modul snap-in Správa služeb. To můžete udělat tak, že kliknete na Start, kliknete na Všechny programy, kliknete na Nástroje pro správu a pak kliknete na Služby.

  2. Poklikejte na službu AD FS (2.0) Windows Service.

  3. Na kartě Přihlášení si poznamenejte účet služby, který se zobrazí v části Tento účet.

  4. Klikněte na Start, klikněte na Všechny programy, na Příslušenství, pravým tlačítkem myši klikněte na Příkazový řádek a potom klikněte na Spustit jako správce.

  5. Zadejte následující příkaz a stiskněte Enter.

    SetSPN –f –q host/<AD FS service name>
    

    Poznámka

    V tomto příkazu představuje plně kvalifikovaný název domény <AD FS service name> (FQDN) název služby koncového bodu služby AD FS. Nepředstavuje název hostitele Windows služby AD FS.

    • Pokud je pro příkaz vráceno více než jedna položka a výsledek je přidružený k jinému uživatelskému účtu, než je ten, který je v kroku 3, odeberte toto přidružení. Uděláte to spuštěním tohoto příkazu:

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Pokud je pro příkaz vráceno více než jedna položka a hlavní název služby používá stejný název jako název počítače serveru služby AD FS v Windows, název koncového bodu federace pro službu AD FS je nesprávný. Služba AD FS musí být znovu implementovaná. Plně kvalifikovaný název domény farmy federačních serverů služby AD FS nesmí být shodný s názvem Windows hostitele existujícího serveru.

    • Pokud hlavní název služby ještě neexistuje, spusťte následující příkaz:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Poznámka

      V tomto příkazu představuje uživatelské jméno, které bylo v <username of service account> kroku 3.

  6. Po provedení těchto kroků na všech serverech ve farmě federačních serverů služby AD FS klikněte v modulu snap-in Správa služeb pravým tlačítkem myši na službu AD FS (2.0) Windows Service a potom klikněte na Restartovat.

Řešení 3: Řešení problémů s rozšířenou ochranou pro ověřování

Pokud rozšířená ochrana pro ověřování brání úspěšnému ověřování, můžete tento problém vyřešit pomocí jedné z následujících doporučených metod:

  • Metoda 1: Pomocí Windows Internet Exploreru 8 (nebo novější verze programu) se přihlaste.
  • Metoda 2: Publikujte služby AD FS na internet tak, aby přemostění SSL, přesměrování ssl nebo filtrování stavových paketů nezapisuje data datové části IP adresy. Osvědčeným doporučením pro tento účel je použití proxy serveru služby AD FS.
  • Metoda 3: Zavřete nebo zakažte aplikace pro monitorování nebo dešifrování SSL.

Pokud nemůžete použít žádnou z těchto metod, můžete k řešení tohoto problému zakázat rozšířenou ochranu pro ověřování pro pasivní a aktivní klienty.

Alternativní řešení: Zakázání rozšířené ochrany pro ověřování

Upozornění

Nedoporučujeme používat tento postup jako dlouhodobé řešení. Zakázání rozšířené ochrany pro ověřování oslabuje profil zabezpečení služby AD FS tím, že nezjišťuje určité útoky muž-in-the-middle na koncových bodech integrovaného ověřování Windows ověřování.

Poznámka

Pokud se toto alternativní řešení používá pro funkce aplikací jiných výrobců, měli byste odinstalovat opravy hotfix v klientském operačním systému pro rozšířenou ochranu pro ověřování.

Pro pasivní klienty

Pokud chcete zakázat rozšířenou ochranu pro ověřování pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace SLUŽBY IIS na všech serverech ve farmě federačních serverů služby AD FS:

  • Výchozí web/adfs
  • Výchozí web/adfs/ls

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu Otevření Správce služby IIS (IIS 7).
  2. V Zobrazení funkcí poklikejte na Ověřování.
  3. Na stránce Authentication (Ověřování) vyberte Windows Authentication (Ověřování).
  4. V podokně Akce klikněte na Upřesnit Nastavení.
  5. Když se zobrazí dialogové Nastavení Rozšířené nastavení, vyberte v rozevírací nabídce Rozšířená ochrana možnost Vypnuto.

Pro aktivní klienty

Pokud chcete zakázat rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru SLUŽBY AD FS následující postup:

  1. Otevřete Windows PowerShell.

  2. Spuštěním následujícího příkazu načtěte Windows PowerShell služby AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Pokud chcete zakázat rozšířenou ochranu pro ověřování, spusťte následující příkaz:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Opětovné povolení rozšířené ochrany pro ověřování

Pro pasivní klienty

Pokud chcete znovu povolit rozšířenou ochranu pro ověřování pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace SLUŽBY IIS na všech serverech ve farmě federačních serverů služby AD FS:

  • Výchozí web/adfs
  • Výchozí web/adfs/ls

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu Otevření Správce služby IIS (IIS 7).
  2. V Zobrazení funkcí poklikejte na Ověřování.
  3. Na stránce Authentication (Ověřování) vyberte Windows Authentication (Ověřování).
  4. V podokně Akce klikněte na Upřesnit Nastavení.
  5. Když se zobrazí dialogové Nastavení Rozšířené nastavení, vyberte v rozevírací nabídce Rozšířená ochrana možnost Přijmout.

Pro aktivní klienty

Pokud chcete znovu povolit rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru SLUŽBY AD FS následující postup:

  1. Otevřete Windows PowerShell.

  2. Spuštěním následujícího příkazu načtěte Windows PowerShell služby AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Pokud chcete povolit rozšířenou ochranu pro ověřování, spusťte následující příkaz:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Řešení 4: Nahrazení záznamů CNAME záznamy A pro službu AD FS

Pomocí nástrojů pro správu DNS nahraďte každý záznam DNS Alias (CNAME), který se používá pro federační službu, záznamem adresy DNS (A). Pokud je implementována konfigurace DNS rozdělené na rozdělený mozek, zkontrolujte nebo zvažte nastavení DNS pro firmy. Další informace o tom, jak spravovat záznamy DNS, najdete v tématu Správa záznamů DNS.

Řešení 5: Nastavení Internet Exploreru jako klienta služby AD FS pro jednotné přihlašování (SSO)

Další informace o tom, jak nastavit internet explorer pro přístup ke službě AD FS, najdete v tématu Neočekávaně se zobrazí výzva federovaného uživatele k zadání přihlašovacích údajů k pracovnímu nebo školnímu účtu.

Další informace

Služba AD FS používá k ochraně sítě rozšířenou ochranu pro ověřování. Rozšířená ochrana pro ověřování pomáhá zabránit útokům muž-in-the-middle, při kterých útočník zachycuje přihlašovací údaje klienta a přeposílá je na server. Ochrana před takovými útoky je možná pomocí kanálu Binding Works (CBT). Cbt může server požadováno, povolené nebo nepožadované, když je komunikace s klienty vytvořená.

Nastavení ExtendedProtectionTokenCheck AD FS určuje úroveň rozšířené ochrany pro ověřování podporovanou federačním serverem. Pro toto nastavení jsou dostupné hodnoty:

  • Vyžadovat: Server je plně vytvrzený. Vynucuje se rozšířená ochrana.
  • Povolit: Toto je výchozí nastavení. Server je částečně zatvrzený. Rozšířená ochrana se vynucuje u zapojených systémů, které se změnily tak, aby tuto funkci podporovaly.
  • Žádné: Server je zranitelný. Rozšířená ochrana se nevynucuje.

Následující tabulky popisují, jak ověřování funguje pro tři operační systémy a prohlížeče v závislosti na různých možnostech rozšířené ochrany, které jsou dostupné ve službě AD FS se službou IIS.

Poznámka

Windows klientské operační systémy musí mít nainstalované konkrétní aktualizace, aby bylo efektivní používání funkcí rozšířené ochrany. Ve výchozím nastavení jsou funkce povolené ve službě AD FS.

Ve výchozím nastavení Windows 7 obsahuje příslušné binární soubory pro použití rozšířené ochrany.

Windows 7 (nebo vhodně aktualizované verze Windows Vista nebo Windows XP)

Nastavení Vyžadovat Povolit (výchozí) Žádné
Windows Communication Foundation (WCF) Client (Všechny koncové body) Funguje Funguje Funguje
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Neúspěšné Neúspěšné Funguje
Safari 4.0.4 Neúspěšné Neúspěšné Funguje

Windows Vista bez příslušných aktualizací

Nastavení Vyžadovat Povolit (výchozí) Žádné
Klient WCF (všechny koncové body) Neúspěšné Funguje Funguje
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Neúspěšné Funguje Funguje
Safari 4.0.4 Neúspěšné Funguje Funguje

Windows XP bez příslušných aktualizací

Nastavení Vyžadovat Povolit (výchozí) Žádné
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Neúspěšné Funguje Funguje
Safari 4.0.4 Neúspěšné Funguje Funguje

Další informace o rozšířené ochraně pro ověřování najdete v následujícím zdroji Microsoftu:

Konfigurace rozšířených možností pro službu AD FS 2.0

Další informace o rutině Set-ADFSProperties najdete na následujícím webu Společnosti Microsoft:

Set-ADFSProperties

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.