Erreur « Il y a eu un problème d’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Microsoft 365, Azure ou Intune

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problème

Lorsqu’un utilisateur fédéré tente de se connecter à un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune, l’utilisateur reçoit le message d’erreur suivant de Services ADFS (AD FS) :

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Lorsque cette erreur se produit, la barre d’adresses du navigateur web pointe vers le point de terminaison AD FS local à une adresse semblable à la suivante :

« https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn :federation :MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248 »

Cause

Ce problème peut se produire pour l’une des raisons suivantes :

  • La configuration de l’authentification unique (SSO) via AD FS n’a pas été effectuée.
  • Le certificat de signature de jeton AD FS a expiré.
  • Les revendications de stratégie d’accès client AD FS sont configurées de manière incorrecte.
  • L’approbation de partie de confiance avec Microsoft Entra ID est manquante ou mal configurée.
  • Le serveur proxy de fédération AD FS est configuré de manière incorrecte ou exposé de manière incorrecte.
  • Le compte AD FS IUSR n’a pas l’autorisation d’utilisateur « Emprunter l’identité d’un client après l’authentification ».

Solution

Pour résoudre ce problème, utilisez la méthode appropriée pour votre situation.

Scénario 1 : Le certificat de signature de jeton AD FS a expiré

Vérifier si le certificat de signature de jeton a expiré

Pour case activée si le certificat de signature de jeton a expiré, procédez comme suit :

  1. Cliquez sur Démarrer, sur Tous les programmes, sur Outils d’administration, puis sur Gestion AD FS (2.0).
  2. Dans la console de gestion AD FS, cliquez sur Service, sur Certificats, puis examinez les dates d’effet et d’expiration du certificat de signature de jeton AD FS.

Si le certificat a expiré, il doit être renouvelé pour restaurer la fonctionnalité d’authentification unique.

Renouveler le certificat de signature de jeton (s’il a expiré)

Pour renouveler le certificat de signature de jeton sur le serveur AD FS principal à l’aide d’un certificat auto-signé, procédez comme suit :

  1. Dans la même console de gestion AD FS, cliquez sur Service, sur Certificats, puis, sous **Certifications **, dans le volet Actions, cliquez sur Ajouter un certificat Token-Signing.
  2. Si un avertissement « Les certificats ne peuvent pas être modifiés alors que la fonctionnalité de substitution automatique de certificat AD FS est activée » s’affiche, passez à l’étape 3. Sinon, case activée les dates d’effet et d’expiration du certificat. Si le certificat est correctement renouvelé, vous n’êtes pas obligé d’effectuer les étapes 3 et 4.
  3. Si le certificat n’est pas renouvelé, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez sur le dossier Windows PowerShell, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.
  4. À l’invite de commandes Windows PowerShell, entrez les commandes suivantes. Appuyez sur Entrée après avoir entré chaque commande :
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType : Token-Signing

Pour renouveler le certificat de signature de jeton sur le serveur AD FS principal à l’aide d’un certificat signé par une autorité de certification, procédez comme suit :

  1. Créez le fichier WebServerTemplate.inf. Pour cela, procédez comme suit :

    1. Démarrez le Bloc-notes et ouvrez un nouveau document vierge.

    2. Collez ce qui suit dans le fichier :

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. Dans le fichier, remplacez subject="CN=adfs.contoso.com » par ce qui suit :

      subject="CN=your-federation-service-name »

    4. Dans le menu Fichier, cliquez sur Enregistrer sous.

    5. Dans la boîte de dialogue Enregistrer sous** , cliquez sur Tous les fichiers (.) ** dans la zone Type de fichier.

    6. Tapez WebServerTemplate.inf dans la zone Nom de fichier, puis cliquez sur Enregistrer.

  2. Copiez le fichier WebServerTemplate.inf sur l’un de vos serveurs de fédération AD FS.

  3. Sur le serveur AD FS, ouvrez une fenêtre d’invite de commandes d’administration.

  4. Utilisez la commande cd(change directory) pour passer au répertoire dans lequel vous avez copié le fichier .inf.

  5. Tapez la commande suivante, puis appuyez sur Entrée :

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Envoyez le fichier de sortie, AdfsSSL.req, à votre autorité de certification pour signature.

  7. L’autorité de certification retourne une partie de clé publique signée au format .p7b ou .cer. Copiez ce fichier sur votre serveur AD FS où vous avez généré la demande.

  8. Sur le serveur AD FS, ouvrez une fenêtre d’invite de commandes d’administration.

  9. Utilisez la commande cd(change directory) pour passer au répertoire dans lequel vous avez copié le fichier .p7b ou .cer.

  10. Tapez la commande suivante, puis appuyez sur Entrée :

    CertReq.exe -Accept « file-from-your-CA-p7b-or-cer »

Terminer la restauration de la fonctionnalité d’authentification unique

Que vous utilisiez ou non un certificat auto-signé ou signé par l’autorité de certification, vous devez terminer la restauration de la fonctionnalité d’authentification unique. Pour cela, procédez comme suit :

  1. Ajoutez l’accès en lecture à la clé privée pour le compte de service AD FS sur le serveur AD FS principal. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez mmc.exe, puis appuyez sur Entrée.
    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Double-cliquez sur Certificats, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.
    4. Sélectionnez Ordinateur local, cliquez sur Terminer, puis sur OK.
    5. Développez Certificats (Ordinateur local), développez Personnel, puis cliquez sur Certificats.
    6. Cliquez avec le bouton droit sur le nouveau certificat de signature de jeton, pointez sur Toutes les tâches, puis cliquez sur Gérer les clés privées.
    7. Ajoutez l’accès en lecture au compte de service AD FS, puis cliquez sur OK.
    8. Quittez le composant logiciel enfichable Certificats.
  2. Mettez à jour l’empreinte numérique du nouveau certificat et la date de l’approbation de la partie de confiance avec Microsoft Entra ID. Pour ce faire, consultez la section « Comment mettre à jour la configuration du domaine fédéré Microsoft 365 » dans Comment mettre à jour ou réparer les paramètres d’un domaine fédéré dans Microsoft 365, Azure ou Intune.
  3. Recréez la configuration de l’approbation de proxy AD FS. Pour cela, procédez comme suit :
    1. Redémarrez le service Windows AD FS sur le serveur AD FS principal.
    2. Attendez 10 minutes que le certificat soit répliqué sur tous les membres de la batterie de serveurs de fédération, puis redémarrez le service Windows AD FS sur le reste des serveurs AD FS.
    3. Réexécutez l’Assistant Configuration du proxy sur chaque serveur proxy AD FS. Pour plus d’informations, consultez Configurer un ordinateur pour le rôle proxy de serveur de fédération.

Scénario 2 : Vous avez récemment mis à jour la stratégie d’accès client via des revendications, et la connexion ne fonctionne plus

Vérifiez si la stratégie d’accès client a été correctement appliquée. Pour plus d’informations, consultez Limitation de l’accès aux services Microsoft 365 en fonction de l’emplacement du client.

Scénario 3 : le point de terminaison des métadonnées de fédération ou l’approbation de partie de confiance peut être désactivé

Activez le point de terminaison de métadonnées de fédération et l’approbation de la partie de confiance avec Microsoft Entra ID sur le serveur AD FS principal. Pour cela, procédez comme suit :

  1. Ouvrez la console de gestion AD FS 2.0.
  2. Assurez-vous que le point de terminaison des métadonnées de fédération est activé. Pour cela, procédez comme suit :
    1. Dans le volet de navigation gauche, accédez à AD FS (2.0), Service, Points de terminaison.
    2. Dans le volet central, cliquez avec le bouton droit sur l’entrée /Federation Metadata/2007-06/FederationMetadata.xml , puis cliquez pour sélectionner Activer et activer sur le proxy.
  3. Assurez-vous que l’approbation de partie de confiance avec Microsoft Entra ID est activée. Pour cela, procédez comme suit :
    1. Dans le volet de navigation gauche, accédez à AD FS (2.0),relations d’approbation, puis approbations de partie de confiance.
    2. Si Microsoft Office 365 Identity Platform est présent, cliquez avec le bouton droit sur cette entrée, puis cliquez sur Activer.
  4. Réparez l’approbation de partie de confiance avec Microsoft Entra ID en consultant la section « Mettre à jour les propriétés d’approbation » de Vérifier et gérer l’authentification unique avec AD FS.

Scénario 4 : L’approbation de la partie de confiance peut être manquante ou endommagée

Supprimez et rajoutez l’approbation de partie de confiance. Pour cela, procédez comme suit :

  1. Connectez-vous au serveur AD FS principal.
  2. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis sur Gestion AD FS (2.0).
  3. Dans le console de gestion, développez AD FS (2.0),relations d’approbation, puis approbations de partie de confiance.
  4. Si Microsoft Office 365 Identity Platform est présent, cliquez avec le bouton droit sur cette entrée, puis cliquez sur Supprimer.
  5. Rajoutez l’approbation de partie de confiance en consultant la section « Mettre à jour les propriétés d’approbation » de Vérifier et gérer l’authentification unique avec AD FS.

Scénario 5 : Le compte de service AD FS n’a pas l’autorisation d’utilisateur « Emprunter l’identité d’un client après l’authentification »

Pour accorder l’autorisation d’utilisateur « Emprunter l’identité d’un client après l’authentification » au compte de service AD FS IUSR, consultez ID d’événement 128 — Configuration de l’application basée sur des jetons Windows NT.

References

Pour plus d’informations sur la résolution des problèmes de connexion pour les utilisateurs fédérés, consultez les articles suivants de la Base de connaissances Microsoft :

  • 2530569 Résoudre les problèmes de configuration de l’authentification unique dans Microsoft 365, Intune ou Azure
  • 2712961 Comment résoudre les problèmes de connexion de point de terminaison AD FS lorsque les utilisateurs se connectent à Microsoft 365, Intune ou Azure

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.