Erreur « un problème est survenu lors de l’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Office 365, Azure ou Intune

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Problème

Lorsqu’un utilisateur fédéré tente de se connecter à un service de Cloud Microsoft, tel qu’Office 365, Microsoft Azure ou Microsoft Intune, l’utilisateur reçoit le message d’erreur suivant à partir des services ADFS (Active Directory Federation Services) :

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Lorsque cette erreur se produit, la barre d’adresses du navigateur Web pointe vers le point de terminaison AD FS local à une adresse semblable à la suivante :

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Cause

Ce problème peut se produire pour l’une des raisons suivantes :

  • La configuration de l’authentification unique (SSO) via AD FS n’a pas été effectuée.
  • Le certificat de signature de jetons AD FS a expiré.
  • Les revendications de stratégie d’accès au client AD FS sont configurées de manière incorrecte.
  • L’approbation de partie de confiance avec Azure Active Directory (Azure AD) est manquante ou n’est pas configurée correctement.
  • Le serveur proxy de fédération AD FS est configuré de manière incorrecte ou incorrectement exposé.
  • Le compte IUSR AD FS IUSR ne dispose pas de l’autorisation « emprunter l’identité d’un client après l’authentification ».

Solution

Pour résoudre ce problème, appliquez la méthode appropriée à votre cas.

Scénario 1 : le certificat de signature de jetons AD FS a expiré

Vérifier si le certificat de signature de jetons a expiré

Pour vérifier si le certificat de signature de jetons a expiré, procédez comme suit :

  1. Cliquez successivement sur Démarrer, sur tous les programmes, sur Outils d’administration, puis sur gestion des services ADFS (2,0).
  2. Dans la console de gestion AD FS, cliquez sur service, sur certificats, puis examinez les dates d' effet et d’expiration du certificat de signature de jetons AD FS.

Si le certificat a expiré, il doit être renouvelé pour restaurer la fonctionnalité d’authentification unique.

Renouveler le certificat de signature de jetons (s’il a expiré)

Pour renouveler le certificat de signature de jetons sur le serveur AD FS principal à l’aide d’un certificat auto-signé, procédez comme suit :

  1. Dans la même console de gestion AD FS, cliquez sur service, sur certificats, puis, sous * * certifications * * dans le volet actions , cliquez sur Ajouter un certificat de signature de jetons.
  2. Si un avertissement « les certificats ne peuvent pas être modifiés lorsque la fonctionnalité de basculement automatique de certificat AD FS est activé » s’affiche, passez à l’étape 3. Dans le cas contraire, vérifiez les dates d' effet et d’expiration du certificat. Si le certificat est renouvelé avec succès, vous n’avez pas à effectuer les étapes 3 et 4.
  3. Si le certificat n’est pas renouvelé, cliquez sur Démarrer, pointez sur tous les programmes, cliquez sur accessoires, cliquez sur le dossier Windows PowerShell , cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur exécuter en tant qu’administrateur.
  4. À l’invite de commandes Windows PowerShell, entrez les commandes suivantes. Appuyez sur entrée après avoir entré chaque commande :
    • Add-PSSnapin Microsoft. ADFS. PowerShell
    • Update-ADFSCertificate-CertificateType : signature de jetons

Pour renouveler le certificat de signature de jetons sur le serveur AD FS principal à l’aide d’un certificat signé par une autorité de certification (CA), procédez comme suit :

  1. Créez le fichier WebServerTemplate. inf. Pour cela, procédez comme suit:

    1. Démarrez le bloc-notes, puis ouvrez un nouveau document vide.

    2. Collez les éléments suivants dans le fichier :

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. Dans le fichier, remplacez Subject = "CN = ADFS. contoso. com" par ce qui suit :

      Subject = "CN =Your-Federation-Service-Name"

    4. Dans le menu Fichier, cliquez sur Enregistrer sous.

    5. Dans la boîte de dialogue * * Enregistrer sous , cliquez sur tous les fichiers (.) * * dans la zone type de fichier .

    6. Tapez WebServerTemplate. inf dans la zone nom de fichier , puis cliquez sur Enregistrer.

  2. Copiez le fichier WebServerTemplate. inf sur l’un de vos serveurs de fédération AD FS.

  3. Sur le serveur AD FS, ouvrez une fenêtre d’invite de commandes d’administration.

  4. Utilisez la commande CD (changer d’annuaire) pour passer dans le répertoire où vous avez copié le fichier. inf.

  5. Tapez la commande suivante, puis appuyez sur Entrée :

    CertReq. exe-nouvelle WebServerTemplate. inf AdfsSSL. req

  6. Envoyez le fichier de sortie, AdfsSSL. req, à votre autorité de certification pour la signature.

  7. L’autorité de certification renvoie une partie de clé publique signée au format. p7b ou. cer. Copiez ce fichier sur votre serveur AD FS où vous avez généré la demande.

  8. Sur le serveur AD FS, ouvrez une fenêtre d’invite de commandes d’administration.

  9. Utilisez la commande CD (changer d’annuaire) pour passer dans le répertoire où vous avez copié le fichier. p7b ou. cer.

  10. Tapez la commande suivante, puis appuyez sur Entrée :

    CertReq. exe-Accept "file-from-your-CA-P7B-or-cer"

Terminer la restauration de la fonctionnalité SSO

Qu’un certificat auto-signé ou signé par l’autorité de certification soit utilisé, vous devez terminer la restauration de la fonctionnalité d’authentification unique. Pour cela, procédez comme suit:

  1. Ajoutez un accès en lecture à la clé privée pour le compte de service AD FS sur le serveur AD FS principal. Pour cela, procédez comme suit:
    1. Cliquez sur Démarrer, sur exécuter, tapez mmc. exe, puis appuyez sur entrée.
    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Double-cliquez sur certificats, sélectionnez compte d’ordinateur, puis cliquez sur suivant.
    4. Sélectionnez ordinateur local, cliquez sur Terminer, puis cliquez sur OK.
    5. Développez Certificats (Ordinateur local), développez Personnel, puis cliquez sur Certificats.
    6. Cliquez avec le bouton droit sur le nouveau certificat de signature de jetons, pointez sur toutes les tâches, puis cliquez sur gérer les clés privées.
    7. Ajoutez un accès en lecture au compte de service AD FS, puis cliquez sur OK.
    8. Quittez le composant logiciel enfichable Certificats.
  2. Mettez à jour l’empreinte numérique du nouveau certificat et la date de l’approbation de la partie de confiance avec Azure AD. Pour ce faire, consultez la section « mise à jour de la configuration du domaine fédéré Office 365 » de la rubrique How to Update or repair the settings of a Federated Domain in office 365, Azure ou Intune.
  3. Recréez la configuration d’approbation du proxy AD FS. Pour cela, procédez comme suit:
    1. Redémarrez le service Windows AD FS sur le serveur AD FS principal.
    2. Patientez 10 minutes le temps que le certificat soit répliqué sur tous les membres de la batterie de serveurs de Fédération, puis redémarrez le service Windows AD FS sur le reste des serveurs AD FS.
    3. Réexécutez l’Assistant Configuration de proxy sur chaque serveur proxy AD FS. Pour plus d’informations, consultez la rubrique Configure a Computer for the Federation Server Proxy Role.

Scénario 2 : vous avez récemment mis à jour la stratégie d’accès client par le biais de revendications et la connexion échoue.

Vérifiez que la stratégie d’accès au client a été correctement appliquée. Pour plus d’informations, consultez la rubrique limitation de l’accès aux services Office 365 en fonction de l’emplacement du client.

Scénario 3 : le point de terminaison de métadonnées de Fédération ou l’approbation de partie de confiance peut être désactivé

Activez le point de terminaison des métadonnées de Fédération et l’approbation de partie de confiance avec Azure AD sur le serveur AD FS principal. Pour cela, procédez comme suit: 

  1. Ouvrez la console de gestion AD FS 2,0.
  2. Assurez-vous que le point de terminaison des métadonnées de Fédération est activé. Pour cela, procédez comme suit:
    1. Dans le volet de navigation de gauche, accédez à AD FS (2,0), service, points de terminaison.
    2. Dans le volet central, cliquez avec le bouton droit sur l’entrée /Federation Metadata/2007-06/FederationMetadata. xml , puis cliquez pour sélectionner activer et activer sur le proxy.
  3. Assurez-vous que l’approbation de partie de confiance avec Azure AD est activée. Pour cela, procédez comme suit: 
    1. Dans le volet de navigation de gauche, accédez à AD FS (2,0), puis relations d’approbation, puis faites confiance aux approbations de partie.
    2. Si la plateforme d’identité Microsoft Office 365 est présente, cliquez avec le bouton droit sur cette entrée, puis cliquez sur activer.
  4. Réparez l’approbation de partie de confiance avec Azure AD en consultant la section « mettre à jour les propriétés d’approbation » de la rubrique Verify and Manage Single Sign-On with AD FS.

Scénario 4 : l’approbation de partie de confiance peut être manquante ou endommagée

Supprimez et rajoutez l’approbation de partie de confiance. Pour cela, procédez comme suit:

  1. Ouvrez une session sur le serveur AD FS principal.
  2. Cliquez sur Démarrer, pointez sur tous les programmes, cliquez sur Outils d’administration, puis sur gestion des services ADFS (2,0).
  3. Dans la console de gestion, développez AD FS (2,0), développez relations d’approbation, puis développez approbations de partie de confiance.
  4. Si la plateforme d’identité Microsoft Office 365 est présente, cliquez avec le bouton droit sur cette entrée, puis cliquez sur supprimer.
  5. Ajoutez à nouveau l’approbation de partie de confiance en consultant la section « mettre à jour les propriétés d’approbation » de la rubrique Verify and Manage Single Sign-On with AD FS.

Scénario 5 : le compte de service AD FS ne dispose pas de l’autorisation « emprunter l’identité d’un client après l’authentification »

Pour accorder l’autorisation « emprunter l’identité d’un client après l’authentification » au compte de service AD FS IUSR, reportez-vous à l' ID d’événement 128 : configuration de l’application basée sur un jeton Windows NT.

Références

Pour plus d’informations sur la résolution des problèmes de connexion pour les utilisateurs fédérés, consultez les articles suivants de la base de connaissances Microsoft :

  • 2530569   Résoudre les problèmes d’installation de l’authentification unique dans Office 365, Intune ou Azure
  • 2712961   Comment faire pour résoudre les problèmes de connexion au point de terminaison AD FS lorsque les utilisateurs se connectent à Office 365, Intune ou Azure  

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.