Při přihlašování k Microsoftu 365, Azure nebo Intune se federovaným uživatelům opakovaně zobrazuje výzva k zadání přihlašovacích údajů.

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Důležité

Tento článek obsahuje informace, které vám pomůžou snížit nastavení zabezpečení nebo vypnout funkce zabezpečení v počítači. Tyto změny můžete provést a vyřešit tak konkrétní problém. Před provedením těchto změn doporučujeme vyhodnotit rizika spojená s implementací tohoto alternativního řešení v konkrétním prostředí. Pokud toto alternativní řešení implementujete, proveďte příslušné další kroky, které pomohou chránit počítač.

Problém

Když se federovaný uživatel pokusí ověřit v koncovém bodu služby Active Directory Federation Services (AD FS) (AD FS) během přihlášení ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, opakovaně vyzývá k zadání přihlašovacích údajů. Když uživatel zruší předplatné, zobrazí se uživateli chybová zpráva o odepření přístupu .

Příčina

Příznak značí problém s integrovaným ověřováním Systému Windows se službou AD FS. K tomuto problému může dojít, pokud platí jedna nebo více z následujících podmínek:

  • Bylo použito nesprávné uživatelské jméno nebo heslo.

  • Nastavení ověřování Internetové informační služby (IIS) je ve službě AD FS nesprávně nastaveno.

  • Hlavní název služby (SPN), který je přidružený k účtu služby, který se používá ke spuštění farmy federačních serverů služby AD FS, se ztratí nebo je poškozený.

    Poznámka

    K tomu dochází pouze v případě, že je služba AD FS implementována jako farma federačních serverů a není implementována v samostatné konfiguraci.

  • Rozšířená ochrana pro ověřování identifikuje jednu nebo více z následujících možností jako zdroj útoku man-in-the-middle:

    • Některé internetové prohlížeče třetích stran
    • Brána firewall podnikové sítě, nástroj pro vyrovnávání zatížení sítě nebo jiné síťové zařízení publikují službu AD FS Federation Service do internetu tak, aby se data datové části PROTOKOLU IP mohly přepsat. To může zahrnovat následující druhy dat:

      • Přemostění ssl (Secure Sockets Layer)

      • Přesměrování zpracování SSL

      • Stavové filtrování paketů

        Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

        2510193 Podporované scénáře použití služby AD FS k nastavení jednotného přihlašování v Microsoftu 365, Azure nebo Intune

    • Na klientském počítači je nainstalovaná nebo aktivní aplikace pro monitorování nebo dešifrování SSL.

  • Překlad dns (Domain Name System) koncového bodu služby AD FS byl proveden prostřednictvím vyhledávání záznamů CNAME místo vyhledávání záznamů A.

  • Windows Internet Explorer není nakonfigurovaný tak, aby předával integrované ověřování Windows serveru AD FS.

Než začnete s řešením potíží

Zkontrolujte, že uživatelské jméno a heslo nejsou příčinou problému.

  • Ujistěte se, že je použito správné uživatelské jméno ve formátu hlavního názvu uživatele (UPN). Například: johnsmith@contoso.com.

  • Ujistěte se, že je použito správné heslo. Pokud chcete zkontrolovat, jestli se používá správné heslo, budete možná muset resetovat heslo uživatele. Další informace naleznete v následujícím článku Microsoft TechNet:

    Resetování uživatelského hesla

  • Ujistěte se, že účet není uzamčený, nevypršela jeho platnost nebo se nepoužívá mimo určené přihlašovací doby. Další informace naleznete v následujícím článku Microsoft TechNet: Správa uživatelů

Ověření příčiny

Pokud chcete zkontrolovat, že problém způsobují problémy s protokolem Kerberos, dočasně vynechte ověřování protokolem Kerberos povolením ověřování pomocí formulářů ve farmě federačních serverů služby AD FS. Postupujte takto:

Krok 1: Úprava souboru web.config na každém serveru ve farmě federačních serverů služby AD FS

  1. V Průzkumníku Windows vyhledejte složku C:\inetpub\adfs\ls\ a vytvořte záložní kopii souboru web.config.

  2. Klikněte na Start, klikněte na Všechny programy, klikněte na Příslušenství, pravým tlačítkem myši klikněte na Poznámkový blok a potom klikněte na Spustit jako správce.

  3. V nabídce Soubor klikněte na Otevřít. Do pole Název souboru zadejte C:\inetpub\adfs\ls\web.config a klikněte na Otevřít.

  4. V souboru web.config postupujte takto:

    1. Vyhledejte řádek, který obsahuje <režim> ověřování, a změňte ho na <režim ověřování="Forms"/>.

    2. Vyhledejte oddíl, který začíná <na localAuthenticationTypes>, a změňte oddíl tak, aby < položka add name="Forms"> byla uvedena jako první následujícím způsobem:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. V nabídce Soubor klikněte na Uložit.

  6. Na příkazovém řádku se zvýšenými oprávněními restartujte službu IIS pomocí příkazu iisresetcommand.

Krok 2: Testování funkcí služby AD FS

  1. Na klientském počítači, který je připojený a ověřený v místním prostředí SLUŽBY AD DS, se přihlaste k portálu cloudové služby.

    Místo bezproblémového ověřování by se mělo provádět přihlašování na základě formulářů. Pokud je přihlášení pomocí ověřování založeného na formulářích úspěšné, znamená to, že ve službě AD FS Federation Service existuje problém s protokolem Kerberos.

  2. Než budete postupovat podle kroků v části Řešení, vraťte konfiguraci jednotlivých serverů ve farmě federačních serverů SLUŽBY AD FS na předchozí nastavení ověřování. Pokud chcete vrátit konfiguraci jednotlivých serverů ve farmě federačních serverů služby AD FS, postupujte takto:

    1. V Průzkumníku Windows vyhledejte složku C:\inetpub\adfs\ls\ a odstraňte soubor web.config.
    2. Přesuňte zálohu souboru web.config, který jste vytvořili v části Krok 1: Úprava souboru web.config na každém serveru ve farmě federačních serverů služby AD FS, do složky C:\inetpub\adfs\ls\.

  3. Na příkazovém řádku se zvýšenými oprávněními restartujte službu IIS pomocí příkazu iisresetcommand.

  4. Zkontrolujte, jestli se chování ověřování služby AD FS vrací k původnímu problému.

Řešení

Pokud chcete vyřešit problém s protokolem Kerberos, který omezuje ověřování službou AD FS, použijte jednu nebo více následujících metod podle situace.

Řešení 1: Resetování nastavení ověřování AD FS na výchozí hodnoty

Pokud jsou nastavení ověřování SLUŽBY IIS služby AD FS nesprávné nebo se neshodují nastavení ověřování SLUŽBY IIS pro federační služby AD FS a proxy služby, jedním z řešení je obnovit všechna nastavení ověřování služby IIS na výchozí nastavení služby AD FS.

Výchozí nastavení ověřování jsou uvedena v následující tabulce.

Virtuální aplikace Úrovně ověřování
Výchozí web nebo adfs Anonymní ověřování
Výchozí web/adfs/ls Anonymní ověřování, ověřování systému Windows

Na každém federačním serveru služby AD FS a na každém proxy federačního serveru SLUŽBY AD FS použijte informace v následujícím článku na webu Microsoft TechNet k obnovení výchozího nastavení ověřování virtuálních aplikací služby AD FS IIS:

Konfigurace ověřování ve službě IIS 7

Řešení 2: Oprava hlavního názvu služby (SPN) farmy federačních serverů služby AD FS

Poznámka

Toto řešení zkuste pouze v případě, že je služba AD FS implementovaná jako farma federačních serverů. Nezkoušejte toto řešení v samostatné konfiguraci služby AD FS.

Pokud chcete tento problém vyřešit v případě ztráty nebo poškození hlavního názvu služby pro službu AD FS v účtu služby AD FS, postupujte na jednom serveru ve farmě federačních serverů služby AD FS takto:

  1. Otevřete modul snap-in Správa služeb. Chcete-li to provést, klepněte na tlačítko Start, klepněte na tlačítko Všechny programy, klepněte na tlačítko Nástroje pro správua klepněte na tlačítko služby.

  2. Poklikejte na službu AD FS (2.0) pro Windows.

  3. Na kartě Přihlášení si poznamenejte účet služby, který se zobrazuje v části Tento účet.

  4. Klikněte na Start, klikněte na Všechny programy, klikněte na Příslušenství, pravým tlačítkem myši klikněte na Příkazový řádek a potom klikněte na Spustit jako správce.

  5. Zadejte následující příkaz a stiskněte klávesu Enter.

    SetSPN –f –q host/<AD FS service name>

    Poznámka

    V tomto příkazu <představuje název> služby AD FS plně kvalifikovaný název domény (FQDN) koncového bodu služby AD FS. Nepředstavuje název hostitele systému Windows serveru služby AD FS.

    • Pokud se pro příkaz vrátí více než jedna položka a výsledek je přidružený k jinému uživatelskému účtu, než je ten, který byl zaznamenán v kroku 3, odeberte toto přidružení. Uděláte to spuštěním tohoto příkazu:

      SetSPN –d host/<AD FS service name><bad_username>

    • Pokud se pro příkaz vrátí více než jedna položka a hlavní název služby (SPN) používá stejný název jako název počítače serveru služby AD FS ve Windows, název koncového bodu federace pro službu AD FS je nesprávný. Službu AD FS je potřeba znovu implementovat. Plně kvalifikovaný název domény farmy federačních serverů služby AD FS nesmí být stejný jako název hostitele systému Windows existujícího serveru.

    • Pokud hlavní název služby (SPN) ještě neexistuje, spusťte následující příkaz:

      SetSPN –a host/<AD FS service name><username of service account>

      Poznámka

      V tomto příkazu <uživatelské jméno účtu> služby představuje uživatelské jméno, které bylo uvedeno v kroku 3.

  6. Po provedení těchto kroků na všech serverech ve farmě federačních serverů služby AD FS klikněte pravým tlačítkem na služba AD FS (2.0) windows v modulu snap-in Správa služeb a potom klikněte na Restartovat.

Řešení 3: Řešení problémů s rozšířenou ochranou pro ověřování

Pokud chcete tento problém vyřešit, pokud rozšířená ochrana pro ověřování brání úspěšnému ověření, použijte jednu z následujících doporučených metod:

  • Metoda 1: Přihlaste se pomocí aplikace Windows Internet Explorer 8 (nebo novější verze programu).
  • Metoda 2: Publikujte služby AD FS na internet tak, aby přemostění SSL, snižování zátěže SSL nebo stavové filtrování paketů nepřepisovaly data datové části PROTOKOLU IP. Osvědčeným postupem pro tento účel je použít proxy server služby AD FS.
  • Metoda 3: Zavřete nebo zakažte aplikace pro monitorování nebo dešifrování SSL.

Pokud nemůžete použít žádnou z těchto metod, můžete tento problém obejít tak, že pro pasivní a aktivní klienty můžete zakázat rozšířenou ochranu pro ověřování.

Alternativní řešení: Zakázání rozšířené ochrany pro ověřování

Upozornění

Nedoporučujeme používat tento postup jako dlouhodobé řešení. Zakázání rozšířené ochrany pro ověřování oslabí profil zabezpečení služby AD FS tím, že nezjistí určité útoky man-in-the-middle na koncové body integrovaného ověřování systému Windows.

Poznámka

Pokud je toto alternativní řešení použito pro funkce aplikací třetích stran, měli byste také odinstalovat opravy hotfix v klientském operačním systému pro rozšířenou ochranu pro ověřování.

Pro pasivní klienty

Chcete-li zakázat rozšířenou ochranu pro ověřování pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace služby IIS na všech serverech ve farmě federačních serverů služby AD FS:

  • Výchozí web nebo adfs
  • Výchozí web/adfs/ls

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu Otevření Správce služby IIS (IIS 7).
  2. V zobrazení funkcí poklikejte na Ověřování.
  3. Na stránce Ověřování vyberte Ověřování systému Windows.
  4. V podokně Akce klikněte na Upřesnit nastavení.
  5. Jakmile se zobrazí dialogové okno Upřesnit nastavení, vyberte v rozevírací nabídce Rozšířená ochranamožnost Vypnuto.

Pro aktivní klienty

Pokud chcete zakázat rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru SLUŽBY AD FS následující postup:

  1. Otevřete Windows PowerShell.

  2. Spuštěním následujícího příkazu načtěte Windows PowerShell pro modul snap-in služby AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Spuštěním následujícího příkazu zakažte rozšířenou ochranu pro ověřování:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Opětovné povolení rozšířené ochrany pro ověřování

Pro pasivní klienty

Pokud chcete znovu povolit rozšířenou ochranu pro ověřování pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace SLUŽBY IIS na všech serverech ve farmě federačních serverů služby AD FS:

  • Výchozí web nebo adfs
  • Výchozí web/adfs/ls

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu Otevření Správce služby IIS (IIS 7).
  2. V zobrazení funkcí poklikejte na Ověřování.
  3. Na stránce Ověřování vyberte Ověřování systému Windows.
  4. V podokně Akce klikněte na Upřesnit nastavení.
  5. Když se zobrazí dialogové okno Upřesnit nastavení, vyberte v rozevírací nabídce Rozšířená ochranamožnost Přijmout.

Pro aktivní klienty

Pokud chcete znovu povolit rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru AD FS následující postup:

  1. Otevřete Windows PowerShell.

  2. Spuštěním následujícího příkazu načtěte Windows PowerShell pro modul snap-in služby AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Spuštěním následujícího příkazu povolte rozšířenou ochranu pro ověřování:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Řešení 4: Nahrazení záznamů CNAME záznamy A pro SLUŽBU AD FS

Pomocí nástrojů pro správu DNS nahraďte každý záznam aliasu DNS (CNAME), který se používá pro federační službu, záznamem adresy DNS (A). Při implementaci konfigurace DNS s rozděleným mozkem také zkontrolujte nebo zvažte nastavení podnikového DNS. Další informace o správě záznamů DNS najdete v tématu Správa záznamů DNS.

Řešení 5: Nastavení Internet Exploreru jako klienta služby AD FS pro jednotné přihlašování

Další informace o tom, jak nastavit internet explorer pro přístup ke službě AD FS, najdete v tématu Federovaný uživatel je neočekávaně vyzván k zadání přihlašovacích údajů k pracovnímu nebo školnímu účtu.

Další informace

K ochraně sítě používá služba AD FS rozšířenou ochranu pro ověřování. Rozšířená ochrana pro ověřování může pomoct zabránit útokům man-in-the-middle, kdy útočník zachytí přihlašovací údaje klienta a předá je serveru. Ochrana proti takovým útokům je možná pomocí souborů CBT (Channel Binding Works). CbT může být vyžadováno, povoleno nebo není vyžadováno serverem při navázání komunikace s klienty.

Nastavení ExtendedProtectionTokenCheck SLUŽBY AD FS určuje úroveň rozšířené ochrany pro ověřování podporovanou federačním serverem. Dostupné hodnoty pro toto nastavení:

  • Vyžadovat: Server je plně posílený. Vynucuje se rozšířená ochrana.
  • Povolit: Toto je výchozí nastavení. Server je částečně posílený. Rozšířená ochrana se vynucuje u zapojených systémů, které se změnily tak, aby podporovaly tuto funkci.
  • Žádné: Server je zranitelný. Rozšířená ochrana se nevynucuje.

Následující tabulky popisují, jak funguje ověřování ve třech operačních systémech a prohlížečích v závislosti na různých možnostech rozšířené ochrany, které jsou k dispozici ve službě AD FS se službou IIS.

Poznámka

Klientské operační systémy Windows musí mít nainstalované konkrétní aktualizace, aby bylo možné efektivně používat funkce rozšířené ochrany. Ve výchozím nastavení jsou funkce ve službě AD FS povolené.

Ve výchozím nastavení systém Windows 7 obsahuje odpovídající binární soubory pro použití rozšířené ochrany.

Windows 7 (nebo vhodně aktualizované verze systému Windows Vista nebo Windows XP)

Nastavení Vyžadují Povolit (výchozí) Žádné
Klient WCF (Windows Communication Foundation) (všechny koncové body) Funguje Funguje Funguje
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Nezdaří Nezdaří Funguje
Safari 4.0.4 Nezdaří Nezdaří Funguje

Windows Vista bez příslušných aktualizací

Nastavení Vyžadují Povolit (výchozí) Žádné
Klient WCF (všechny koncové body) Nezdaří Funguje Funguje
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Nezdaří Funguje Funguje
Safari 4.0.4 Nezdaří Funguje Funguje

Windows XP bez příslušných aktualizací

Nastavení Vyžadují Povolit (výchozí) Žádné
Internet Explorer 8 a novější verze Funguje Funguje Funguje
Firefox 3.6 Nezdaří Funguje Funguje
Safari 4.0.4 Nezdaří Funguje Funguje

Další informace o rozšířené ochraně pro ověřování naleznete v následujícím zdroji microsoftu:

Konfigurace upřesňujících možností pro službu AD FS 2.0

Další informace o rutině Set-ADFSProperties přejděte na následující web společnosti Microsoft:

Set-ADFSProperties

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.