Come configurare un'applicazione proxy dell'applicazione per l'uso della delega vincolata KerberosHow to configure an Application Proxy application to use Kerberos Constrained Delegation

I metodi disponibili per ottenere l'accesso SSO alle applicazioni pubblicate possono in qualche modo variare da un'applicazione all'altra e una delle opzioni predefinite del proxy dell'applicazione Azure è la delega vincolata Kerberos (KCD).The methods available for achieving SSO to published applications can somewhat vary from application to application and one of the options that Azure Application Proxy offers right out of the box, is Kerberos Constrained Delegation (KCD). È qui che un host del connettore viene configurato per eseguire l'autenticazione Kerberos vincolata nelle applicazioni back-end per conto degli utenti.This is where a connector host is configured to perform constrained kerberos authentication to backend applications, on behalf of users.

La procedura effettiva per l'abilitazione della delega vincolata Kerberos è relativamente semplice e in genere richiede semplicemente una conoscenza generale dei vari componenti e del flusso di autenticazione che facilita l'accesso SSO.The actual procedure for enabling KCD is relatively straightforward and typically requires no more than a general understanding of the various components and authentication flow that facilitates SSO. Trovare fonti di informazioni valide per risolvere i problemi degli scenari in cui l'accesso SSO della delega vincolata Kerberos non funziona come previsto può essere complicato.Finding good sources of information to help troubleshoot scenarios where KCD SSO doesn’t function as expected, can be sparse.

A tale proposito, questo articolo tenta di fornire un singolo punto di riferimento per risolvere e correggere in modo autonomo alcuni tra i problemi più comuni riscontrati.As such, this article attempts to provide a single point of reference that should help troubleshoot and self-remediate some of the most common issues that we see. L'articolo offre al contempo indicazioni aggiuntive per la diagnosi delle implementazioni più complesse e problematiche.At the same time offer additional guidance for diagnosing the more complex and troubled of implementation.

Si noti che questo articolo presuppone quanto segue:note that this article makes the following assumptions:

  • Il proxy dell'applicazione Azure è stato distribuito in base alla nostra documentazione e l'accesso generale alle applicazioni non di delega vincolata Kerberos funziona come previsto.Azure Application Proxy has been deployed as per our documentation and general access to non KCD applications is working as expected.

  • L'applicazione di destinazione pubblicata è basata sull'implementazione di Kerberos da parte di IIS e Microsoft.The published target application is based on IIS and Microsoft’s implementation of kerberos.

  • Gli host del server e dell'applicazione si trovano in un unico dominio di Active Directory.The server and application hosts reside in a single Active Directory domain. Informazioni dettagliate sugli scenari tra domini e foreste sono disponibili nel nostro white paper sulla delega vincolata Kerberos.Detailed information on cross domain and forest scenarios can be found in our KCD whitepaper.

  • L'applicazione in questione viene pubblicata in un tenant Azure con preautenticazione abilitata e gli utenti dovrebbero eseguire l'autenticazione basata su moduli in Azure.The subject application is published in an Azure tenant with pre-authentication enabled, and users are expected to authenticate to Azure via forms based authentication. Gli scenari di autenticazione dei rich client non sono trattati in questo articolo, ma verranno aggiunti in futuro.Rich client authentication scenarios are not covered by this article, but be added at some point in the future.

PrerequisitiPrerequisites

Il proxy dell'applicazione Azure può essere distribuito praticamente in qualsiasi tipo di infrastruttura o ambiente e indubbiamente le architetture variano in base all'organizzazione.Azure Application Proxy can be deployed into pretty much any type of infrastructure or environment and the architectures no doubt vary from organization to organization. Una delle cause più comuni dei problemi correlati alla delega vincolata Kerberos non è rappresentata dagli ambienti stessi, ma piuttosto da semplici errori di configurazione o disattenzioni.One of the most common causes of KCD related issues are not the environments themselves, but rather simple mis-configurations, or general oversight.

Per questo motivo, è consigliabile sempre verificare di aver soddisfatto tutti i prerequisiti elencati nel nostro articolo principale Fornire l'accesso Single Sign-On alle app con il proxy di applicazione prima di procedere con la risoluzione dei problemi.For this reason, our advice is always to start by making sure you have met all the pre-requisites laid out in our main Using KCD SSO with the Application Proxy article before starting troubleshooting.

Si noti in particolare la sezione sulla configurazione della delega vincolata Kerberos in 2012 R2, in quanto adotta un approccio radicalmente diverso alla configurazione della delega vincolata Kerberos nelle versioni precedenti di Windows, ma è opportuno tenere presente anche altre considerazioni:Particularly the section on configuring KCD on 2012R2, as this employs a fundamentally different approach to configuring KCD on previous versions of Windows, but also while being mindful of several other considerations:

  • Spesso può accadere che un server membro del dominio apra una finestra di dialogo con canale sicuro con un controller di dominio specifico.It is not uncommon for a domain member server to open a secure channel dialog with a specific domain controller. Passare a un'altra finestra di dialogo in qualsiasi momento, in modo da non limitare gli host del connettore alla sola comunicazione con specifici controller di dominino di siti locali.Then move to another dialog at any given time, so connector hosts should generally not be restricted to being able to communicate with only specific local site DCs.

  • In modo analogo al punto precedente, gli scenari tra domini si affidano ai riferimenti che indirizzano un host del connettore ai controller di dominio che possono trovarsi all'esterno del perimetro della rete locale.Similar to the above point, cross domain scenarios rely on referrals that direct a connector host to DCs that may reside outside of the local network perimeter. In questo scenario è ugualmente importante verificare anche di consentire il traffico verso i controller di dominio che rappresentano altri rispettivi domini; in caso contrario, la delega avrà esito negativo.In this scenario it is equally important to make sure you are also allowing traffic onwards to DCs that represent other respective domains, or else delegation fail.

  • Laddove possibile, è consigliabile evitare di posizionare dispositivi IPS/IDS attivi tra gli host del connettore e i controller di dominio, in quanto sono spesso altamente intrusivi e interferiscono con il traffico RPC di baseWhere possible, you should avoid placing any active IPS/IDS devices between connector hosts and DCs, as these are sometimes over intrusive and interfere with core RPC traffic

Per quanto sarebbe auspicabile risolvere i problemi in modo rapido ed efficiente, questa attività può richiedere tempo. Pertanto, laddove possibile, è opportuno testare la delega negli scenari più semplici.As much as we’d like to resolve issues quickly and effectively, it can take time, so where possible you should try and test delegation in the simplest of scenarios. Il numero di variabili introdotte è direttamente proporzionale ai problemi da risolvere.The more variables you introduce, the more you may have to contend with. Ad esempio, limitare i test a un singolo connettore permette di risparmiare tempo prezioso e, dopo aver risolto i problemi, sarà possibile aggiungere altri connettori.For example, limiting your testing to a single connector can save valuable time, and additional connectors can be added after the issues has been resolved.

Alcuni fattori ambientali possono contribuire a un problema. Anche in questo caso, se possibile, ridurre l'architettura al minimo ai fini di test.Some environmental factors may also be contributing to an issue, so again if possible try and minimize the architecture to a bare minimum for testing. Spesso, ad esempio, si verificano errori di configurazione negli elenchi di controllo di accesso (ACL) del firewall interno. Se possibile, quindi, consentire tutto il traffico di un connettore direttamente verso i controller di dominio e l'applicazione back-end.For example, misconfigured internal firewall ACLs are not uncommon, so if possible have all traffic from a connector allowed straight through to the DCs and backend application.

La situazione ideale richiede di posizionare i connettori quanto più vicini alle destinazioni.Actually the absolute best place to position connectors is as close to their targets as can be. La presenza di un firewall inline durante i test aggiunge inutili complessità e potrebbe prolungare le indagini.Having a firewall sat inline whilst testing simply adds unnecessary complexity, and could just prolong your investigations.

In sostanza, che cosa costituisce un problema di delega vincolata Kerberos?So, what constitutes a KCD problem anyway? Esistono diverse indicazioni tipiche di problemi con l'accesso SSO della delega vincolata Kerberos: i primi segnali si manifestano in genere nel browser.Well, there several classic indications of KCD SSO failing and the first signs of an issue usually manifest themselves in the browser.

Errore di configurazione della delega vincolata Kerberos

Autorizzazione non riuscita a causa di autorizzazioni mancanti

Questi messaggi segnalano tutti l'impossibilità di eseguire l'accesso SSO e, di conseguenza, impediscono all'utente l'accesso all'applicazione.all which bear the same symptom of failing to perform SSO, and consequently denying the user access to the application.

risoluzione dei problemiTroubleshooting

La modalità di risoluzione dipende quindi dal problema e dai sintomi osservati.How you then troubleshoot depend on the issue and observed symptoms. Prima di procedere, è consigliabile visitare i collegamenti seguenti, che contengono informazioni utili probabilmente non ancora fornite:Before going any further we would suggest the following links, as they contain useful information you may not yet have come across:

Se si è giunti a questo punto, è senza dubbio presente un problema importante.If you’ve got this far, then the main issue definitely exists. È necessario andare più a fondo: per iniziare, separare il flusso in tre fasi distinte di cui è possibile risolvere i problemi.You need to dig deeper, so start by separating the flow into three distinct stages that you can troubleshoot.

Preautenticazione del client: l'utente esterno che esegue l'autenticazione in Azure tramite un browser.Client pre-authentication - The external user authenticating to Azure via a browser.

Per garantire il funzionamento dell'accesso SSO della delega vincolata Kerberos, è essenziale poter eseguire la preautenticazione in Azure.Being able to pre-authenticate to Azure is imperative for KCD SSO to function. Questa fase deve essere verificata e gestita in prima istanza, in presenza di errori.This should be tested and addressed first, if there are any issues. Si noti che la fase di preautenticazione non è in alcun modo correlata alla delega vincolata Kerberos o all'applicazione pubblicata.Note that the pre-authentication stage has no relation to KCD or the published application. Dovrebbe essere abbastanza semplice risolvere eventuali discrepanze eseguendo un test di integrità per verificare che l'account sia presente in Azure e non sia disabilitato o bloccato.It should be fairly easy to correct any discrepancies by sanity checking the subject account exists in Azure, and that it is not disabled/blocked. La risposta di errore nel browser è in genere sufficientemente descrittiva per comprendere la causa.The error response in the browser is usually descriptive enough to understand the cause. In caso di dubbi, è anche possibile controllare i nostri documenti aggiuntivi sulla risoluzione dei problemi.You can also check our other Troubleshoot docs to verify if you aren’t sure.

Servizio di delega: il connettore del proxy Azure che ottiene un ticket di servizio Kerberos da un centro di distribuzione chiavi Kerberos (KDC) per conto degli utenti.Delegation service - The Azure Proxy connector obtaining a kerberos service ticket from a KDC (Kerberos Distribution Center), on behalf of users.

Le comunicazioni esterne tra il client e il front-end di Azure non dovrebbero avere comunque alcuna rilevanza sulla delega vincolata Kerberos, se non per garantirne il funzionamento.The external communications between the client and the Azure front end should have no bearing on KCD whatsoever, other than ensuring that it works. In questo modo il servizio proxy di Azure può disporre di un ID utente valido che può essere usato per ottenere un ticket Kerberos.This is so the Azure Proxy service can be provided with a valid user ID that be used to obtain a kerberos ticket. Senza questa delega vincolata Kerberos non sarebbe possibile e l'operazione avrebbe esito negativo.Without this KCD is not possible and would fail.

Come accennato in precedenza, i messaggi di errore del browser offrono in genere alcune indicazioni valide sul motivo per cui si verificano errori.As mentioned previously, the browser error messages usually provide some good clues on why things are failing. Accertarsi di indicare l'ID attività e il timestamp nella risposta, poiché consentiranno di associare il comportamento agli eventi effettivi nel log eventi del proxy Azure.Make sure to note down the activity ID and timestamp in the response as this allow you to correlate the behavior to actual events in the Azure Proxy event log.

Errore di configurazione della delega vincolata Kerberos

E le voci corrispondenti visualizzate nel log eventi verrebbero interpretate come eventi 13019 o 12027.And the corresponding entries seen the event log would be seen as events 13019 or 12027. I log eventi dei connettori sono disponibili in Registri applicazioni e servizi > Microsoft > AadApplicationProxy > Connettore>Admin (Amministratore).You can find the connector event logs in Applications and Services Logs > Microsoft > AadApplicationProxy > Connector>Admin.

Evento 13019 del log eventi del proxy dell'applicazione

Evento 12027 del log eventi del proxy dell'applicazione

  • Usare un record A nel DNS interno per l'indirizzo dell'applicazione e non un record CNAMEUse an A record in your internal DNS for the application’s address, and not a CName

  • Verificare nuovamente che all'host del connettore siano stati concessi i diritti di delega al nome dell'entità servizio (SPN) dell'account di destinazione designato e che sia selezionata l'opzione Usa un qualsiasi protocollo di autenticazione.Re-confirm that the connector host has been granted the rights to delegate to the designated target account’s SPN, and that Use any authentication protocol is selected. Questo argomento è trattato nel nostro articolo principale sulla configurazione di SSOThis is covered in our main SSO configuration article

  • Verificare che in AD sia presente una sola istanza del nome SPN eseguendo un comando setspn -x da un prompt dei comandi in un host membro di dominio qualsiasiVerify that there is only a single instance of the SPN in existence in AD by issuing a setspn -x from a cmd prompt on any domain member host

  • Verificare se sono stati applicati criteri di dominio per limitare la dimensione massima dei token Kerberos emessi, in quanto, se eccessiva, impedisce al connettore di ottenere un tokenCheck to see if a domain policy is being enforced to limit the max size of issued kerberos tokens, as this prevent the connector from obtaining a token if found to be excessive

Una traccia di rete che acquisisca gli scambi tra l'host del connettore e una delega vincolata Kerberos del dominio rappresenta quindi il successivo passaggio ideale per ottenere un livello maggiore di dettaglio sui problemi.A network trace capturing the exchanges between the connector host and a domain KDC would then be the next best step in obtaining more low level detail on the issues. Queste informazioni sono disponibili nel white paper di approfondimento sulla risoluzione dei problemi.You can find this in deep dive Troubleshoot paper.

Se la creazione di ticket non presenta problemi, verrà visualizzato un evento nei log a indicare che l'autenticazione ha avuto esito negativo a causa di un codice 401 restituito dall'applicazione.If ticketing looks good, you should see an event in the logs stating that authentication failed due to the application returning a 401. Ciò indica in genere che l'applicazione di destinazione ha rifiutato il ticket. Procedere alla fase successiva.This typically indicates that the target application rejecting your ticket, so proceed with the following next stage.

Applicazione di destinazione: il consumer del ticket Kerberos fornito dal connettoreTarget application - The consumer of the kerberos ticket provided by the connector

In questa fase il connettore dovrebbe aver inviato un ticket di servizio Kerberos al back-end, sotto forma di intestazione all'interno della prima richiesta dell'applicazione.At this stage the connector is expected to have sent a kerberos service ticket to the backend, as a header within the first application request.

  • Tramite l'URL interno dell'applicazione definito nel portale, confermare che l'applicazione sia accessibile direttamente dal browser nell'host del connettore.Using the application’s internal URL defined in the portal, validate that the application is accessible directly from the browser on the connector host. A questo punto sarà possibile eseguire l'accesso.Then you can login successfully. I dettagli a questo proposito sono disponibili nella pagina di risoluzione dei problemi del connettore.Details on doing this can be found on the connector Troubleshoot page.

  • Nell'host del connettore confermare che l'autenticazione tra il browser e l'applicazione usi Kerberos, effettuando una delle operazioni seguenti:Still on the connector host, confirm that the authentication between the browser and the application is using kerberos, by doing one of the following:

  1. Eseguire Strumenti di sviluppo (F12) in Internet Explorer oppure usare Fiddler dall'host del connettore.Run Dev tools(F12) in Internet Explorer, or use Fiddler from the connector host. Passare all'applicazione mediante l'URL interno ed esaminare le intestazioni dell'autorizzazione WWW restituite nella risposta dell'applicazione, per garantire che sia presente Negotiate o Kerberos.Go to the application using the internal URL, and inspect the offered WWW authorization headers returned in the response from the application, to ensure that either negotiate or kerberos is present. Un BLOB Kerberos restituito successivamente nella risposta del browser all'applicazione inizia in genere con YII, pertanto si tratta di un'indicazione valida del fatto che Kerberos è in uso.A subsequent kerberos blob returned in the response from the browser to the application typically start with YII, so this is a good indication of kerberos being in play. NTLM, d'altro canto, inizia sempre con TlRMTVNTUAAB (NTLMSSP in caso di decodifica da Base64).NTLM on the other hand always start with TlRMTVNTUAAB, which reads NTLMSSP when decoded from Base64. Se TlRMTVNTUAAB è presente all'inizio del BLOB, Kerberos non è disponibile.If you see TlRMTVNTUAAB at the start of the blob, this means that Kerberos is not available. In caso contrario, Kerberos dovrebbe essere disponibile.If you don’t see this, Kerberos is likely available.

    • Si noti che, se si usa Fiddler, questo metodo richiedere la disabilitazione temporanea della protezione estesa sulla configurazione dell'applicazione in IIS.Note, if using Fiddler, this method would require temporarily disabling extended protection on the application’s config in IIS.

      Finestra di controllo di rete del browser

    Figura: poiché non inizia con TIRMTVNTUAAB, questo esempio indica che Kerberos è disponibile.Figure: Since this does not start with TIRMTVNTUAAB, this is an example that Kerberos is available. Si tratta di un esempio di un BLOB Kerberos che non inizia con YII.This is an example of a Kerberos Blob that doesn’t start with YII.

  2. Rimuovere temporaneamente NTLM dall'elenco dei provider nel sito IIS e accedere all'app direttamente da Internet Explorer nell'host del connettore.Temporarily remove NTLM from the providers list on IIS site and access app directly from IE on connector host. Dopo aver rimosso NTLM dall'elenco dei provider, sarà possibile accedere all'applicazione solo mediante Kerberos.With NTLM no longer in the providers list, you should be able to access the application using Kerberos only. In caso di errore, si è verificato un problema con la configurazione dell'applicazione e l'autenticazione Kerberos non funziona.If this fails, then that suggests that there is a problem with the application’s configuration and Kerberos authentication is not functioning.

Se Kerberos non è disponibile, controllare le impostazioni di autenticazione dell'applicazione in IIS per verificare che Negotiate si trovi in cima all'elenco e NTLM al di sotto di essoIf Kerberos is not available, then check the application’s authentication settings in IIS to make sure negotiate is listed topmost, with NTLM just beneath it. (Not Negotiate:kerberos o Negotiate:PKU2U).(Not Negotiate:kerberos or Negotiate:PKU2U). Procedere solo se Kerberos funziona.Only continue if Kerberos is functional.

Provider di autenticazione di Windows

  • Con Kerberos e NTLM disponibili, disabilitare temporaneamente la preautenticazione per l'applicazione nel portale.With Kerberos and NTLM in place, lets now temporarily disable pre-authentication for the application in the portal. Verificare se è possibile accedervi da Internet tramite l'URL esterno.See if you can access it from the internet using the external URL. Verrà richiesto di eseguire l'autenticazione, per la quale sarà possibile usare lo stesso account del passaggio precedente.You should be prompted to authenticate and should be able to do so with the same account used in the previous step. In caso contrario, si è verificato un problema con l'applicazione back-end e non con la delega vincolata Kerberos.If not, this indicates a problem with the backend application and not KCD at all.

  • Riabilitare la preautenticazione nel portale ed eseguire l'autenticazione tramite Azure tentando di connettersi all'applicazione tramite l'URL esterno.Now re-enable pre-authentication in the portal and authenticate through Azure by attempting to connect to the application via it’s external URL. Se l'accesso SSO ha esito negativo, verranno visualizzati un messaggio di errore non consentito nel browser e l'evento 13022 nel log:If SSO has failed, then you should see a forbidden error message in the browser, plus event 13022 in the log:

    Microsoft AAD Application Proxy Connector non riesce ad autenticare l'utente perché il server back-end risponde ai tentativi di autenticazione Kerberos con un errore HTTP 401.Microsoft AAD Application Proxy Connector cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error.

    Errore HTTP 401 non consentito

  • Controllare l'applicazione IIS per verificare che il pool di applicazioni sia configurato per l'uso dello stesso account con cui è stato configurato il nome SPN in Active Directory navigando in IIS come illustrato di seguitoCheck the IIS application to ensure the configured application pool is configured to use the same account that the SPN has been configured against in AD, by navigating in IIS as illustrated below

    Finestra di configurazione dell'applicazione IIS

    Quando si conosce l'identità, eseguire il comando seguente da un prompt dei comandi per verificare che questo account sia configurato con il nome SPN in questione.Once you know the identity, issue the following from a cmd prompt to make sure this account is definitely configured with the SPN in question. Ad esempio, setspn – q http/spn.wacketywack.comFor example, setspn – q http/spn.wacketywack.com

    Finestra di comando SetSPN

  • Verificare che il nome SPN definito in base alle impostazioni dell'applicazione nel portale sia lo stesso nome SPN configurato in base all'account Active Directory di destinazione usato dal pool di applicazioniCheck that the SPN defined against the application’s settings in the portal is the same SPN that is configured against the target AD account in use by the application’s app pool

    Configurazione del nome SPN nel Portale di Azure

  • Passare a IIS e selezionare l'opzione Editor di configurazione per l'applicazione, quindi navigare a system.webServer/security/authentication/windowsAuthentication per verificare che UseAppPoolCredentials sia impostato su trueGo into IIS and select the Configuration Editor option for the application, and navigate to system.webServer/security/authentication/windowsAuthentication to make sure that UseAppPoolCredentials is set to true

    Opzione delle credenziali dei pool di applicazioni della configurazione IIS

Oltre a risultare utile per migliorare le prestazioni delle operazioni Kerberos, l'abilitazione della modalità Kernel determina la decrittografia del ticket per il servizio richiesto con l'account del computer.While being useful in improving the performance of Kerberos operations, leaving Kernel mode enabled also causes the ticket for the requested service to be decrypted using machine account. Questo è anche noto come sistema locale, pertanto la sua impostazione su true interrompe la delega vincolata Kerberos quando l'applicazione è ospitata in più server in una farm.This is also called the Local system, so having this set to true break KCD when the application is hosted across multiple servers in a farm.

  • Come verifica aggiuntiva, è possibile disabilitare anche la protezione estesa.As an additional check, you may also want to disable the Extended protection too. In alcuni scenari è emerso che questa impostazione interrompe la delega vincolata Kerberos se abilitata in configurazioni particolarmente specifiche, in cui un'applicazione viene pubblicata come sottocartella del sito Web predefinito.There have been encountered scenarios where this has proved to break KCD when enabled in very specific configurations, where an application is published as a sub folder of the Default Web site. Questa stessa impostazione è configurata solo per l'autenticazione anonima, lasciando le finestre di dialogo disattivate a indicare che gli oggetti figlio non erediteranno impostazioni attive.This itself is configured for Anonymous authentication only, leaving the entire dialogs greyed out suggesting child objects would not be inheriting any active settings. Laddove possibile è comunque consigliabile mantenere abilitata questa impostazione. Eseguire i test, ma non dimenticare di riabilitarla.But where possible we would always recommend having this enabled, so by all means test, but don’t forget to restore this to enabled.

Questi controlli aggiuntivi dovrebbero consentire di iniziare a usare correttamente l'applicazione pubblicata.These additional checks should have put you on track to start using your published application. È possibile proseguire ed eseguire lo spin up di altri connettori configurati per la delega ma, se l'operazione ha esito negativo, è consigliabile leggere la nostra procedura tecnica dettagliata nella Guida completa alla risoluzione dei problemi del proxy dell'applicazione di Azure ADYou can go ahead and spin up additional connectors that are also configured to delegate, but if things are no further then we would suggest a read of our more in-depth technical walkthrough The complete guide for Troubleshoot Azure AD Application Proxy

Se il problema persiste, il supporto è a disposizione per fornire assistenza e procedere da questo punto.If you’re still unable to progress your issue, support would be more than happy to assist and continue from here. Creare un ticket di supporto direttamente all'interno del portale per essere contattati dai nostri ingegneri.Create a support ticket directly within the portal and our engineers will reach out to you.

Altri scenariOther scenarios

  • Il proxy dell'applicazione Azure richiede un ticket Kerberos prima dell'invio della richiesta a un'applicazione.Azure Application Proxy requests a Kerberos ticket before sending its request to an application. Alcune applicazioni di terze parti, ad esempio Tableau Server, non implementano questo metodo di autenticazione, preferendo l'approccio più tradizionale delle negoziazioni.Some 3rd party applications such as Tableau Server do not like this method of authenticating, and rather expects the more conventional negotiations to take place,. La prima richiesta è anonima, consentendo all'applicazione di rispondere con i tipi di autenticazione supportati tramite un codice 401.The first request is anonymous, allowing the application to respond with the authentication types that it supports through a 401.

  • Autenticazione a doppio hop: generalmente usata negli scenari con applicazioni a livelli, con un back-end e un front-end che richiedono l'autenticazione, ad esempio SQL Reporting Services.Double hop authentication - Commonly used in scenarios where an application is tiered, with a backend and front end, both requiring authentication, such as SQL Reporting Services.

Passaggi successiviNext steps

Configurare la delega vincolata Kerberos (KCD) in un dominio gestitoConfigure kerberos constrained delegation (KCD) on a managed domain