Un utente federato viene richiesto più volte per le credenziali durante l'accesso a Office 365, Azure o Intune

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Importante

In questo articolo sono contenute informazioni che illustrano come semplificare le impostazioni di protezione o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nell'ambiente specifico. Se si implementa questa soluzione alternativa, eseguire i passaggi aggiuntivi necessari per proteggere il computer.

Problema

Un utente federato viene richiesto più volte per le credenziali quando l'utente tenta di eseguire l'autenticazione all'endpoint del servizio Active Directory Federation Services (ADFS) durante l'accesso a un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune. Quando l'utente Annulla, l'utente riceve il messaggio di errore accesso negato .

Causa

Il sintomo indica un problema con l'autenticazione integrata di Windows con ADFS. Questo problema può verificarsi se sono soddisfatte una o più delle seguenti condizioni:

  • È stato utilizzato un nome utente o una password errati.

  • Le impostazioni di autenticazione di Internet Information Services (IIS) non sono configurate correttamente in ADFS.

  • Il nome dell'entità servizio (SPN, Service Principal Name) associato all'account di servizio utilizzato per eseguire la farm di server federativo ADFS è perduto o danneggiato.

    Nota

    Questo problema si verifica solo quando ADFS viene implementato come server farm federativo e non viene implementato in una configurazione autonoma.

  • Una o più delle opzioni seguenti sono identificate da una protezione estesa per l'autenticazione come origine di un attacco man-in-the-Middle:

    • Alcuni browser Internet di terze parti
    • Il firewall di rete aziendale, il bilanciamento del carico di rete o altro dispositivo di rete pubblica il servizio federativo ADFS su Internet in modo che i dati del payload IP possano essere riscritti. Questo può includere i seguenti tipi di dati:
      • Bridging SSL (Secure Sockets Layer)

      • Ripartizione del carico di SSL

      • Filtro di pacchetti con stato

        Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

        2510193   Scenari supportati per l'utilizzo di ADFS per configurare l'accesso Single Sign-on in Office 365, Azure o Intune

    • È installata un'applicazione di monitoraggio o di decrittografia SSL oppure è attiva nel computer client
  • La risoluzione DNS (Domain Name System) dell'endpoint del servizio ADFS è stata eseguita tramite la ricerca dei record CNAME anziché tramite una ricerca di record A.

  • Windows Internet Explorer non è configurato per passare l'autenticazione integrata di Windows al server AD FS.

Prima di iniziare la risoluzione dei problemi

Verificare che il nome utente e la password non siano la causa del problema.

  • Verificare che il nome utente corretto sia utilizzato e che sia in formato UPN (User Principal Name). Ad esempio, johnsmith@contoso.com.

  • Verificare che venga utilizzata la password corretta. Per verificare che venga utilizzata la password corretta, potrebbe essere necessario reimpostare la password dell'utente. Per ulteriori informazioni, vedere l'articolo di Microsoft TechNet seguente:

    Reimpostare una password utente

  • Assicurarsi che l'account non sia bloccato, scaduto o utilizzato all'esterno delle ore di accesso designate. Per ulteriori informazioni, vedere l'articolo di Microsoft TechNet seguente: Managing Users

Verificare la causa

Per verificare che i problemi Kerberos causino il problema, ignorare temporaneamente l'autenticazione Kerberos abilitando l'autenticazione basata su moduli nella farm di server federativo di ADFS. A tal fine, attenersi alla seguente procedura:

Passaggio 1: modificare il file di web.config su ogni server della farm di server federativo ADFS

  1. In Esplora risorse individuare la cartella C:\inetpub\adfs\ls\ e quindi creare una copia di backup del file web.config.

  2. Fare clic sul pulsante Start, scegliere tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su blocco notee quindi scegliere Esegui come amministratore.

  3. Scegliere Apridal menu file . Nella casella nome file Digitare C:\inetpub\adfs\ls\web.config e quindi fare clic su Apri.

  4. Nel file web.config, eseguire la procedura seguente:

    1. Individuare la riga che contiene <authentication mode> e quindi modificarla in <authentication mode="Forms"/> .

    2. Individuare la sezione che inizia con <localAuthenticationTypes> , quindi modificare la sezione in modo che la voce> <Add Name = "Forms" sia elencata per prima, come indicato di seguito:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. Scegliere Salvadal menu file .

  6. Al prompt dei comandi con privilegi elevati riavviare IIS utilizzando il iisresetcommand.

Passaggio 2: testare la funzionalità ADFS

  1. In un computer client connesso e autenticato nell'ambiente di servizi di dominio Active Directory locale, accedere al portale dei servizi cloud.

    Invece di un'esperienza di autenticazione senza problemi, è necessario che venga eseguito un accesso basato su moduli. Se l'accesso ha esito positivo utilizzando l'autenticazione basata su moduli, ciò conferma che esiste un problema con Kerberos nel servizio federativo di ADFS.

  2. Ripristinare le impostazioni di autenticazione precedenti prima di eseguire la procedura descritta nella sezione "Risoluzione" della configurazione di ogni server della server farm di federazione ADFS. Per ripristinare la configurazione di ogni server della farm di server federativo ADFS, eseguire la procedura seguente:

    1. In Esplora risorse individuare la cartella C:\inetpub\adfs\ls\ e quindi eliminare il file web.config.
    2. Spostare il backup del file di web.config creato nel passaggio 1: Edit the web.config file in ogni server della farm ADFS Federation Server "nella cartella C:\inetpub\adfs\ls.
  3. Al prompt dei comandi con privilegi elevati riavviare IIS utilizzando il iisresetcommand.

  4. Verificare che il comportamento di autenticazione AD FS ripristini il problema originale.

Soluzione

Per risolvere il problema Kerberos che limita l'autenticazione AD FS, utilizzare uno o più dei metodi seguenti, a seconda dei casi.

Soluzione 1: reimpostare le impostazioni di autenticazione AD FS sui valori predefiniti

Se le impostazioni di autenticazione IIS di ADFS non sono corrette oppure le impostazioni di autenticazione IIS per i servizi di federazione ADFS e i servizi proxy non corrispondono, una soluzione consiste nel reimpostare tutte le impostazioni di autenticazione di IIS nelle impostazioni predefinite di ADFS.

Le impostazioni di autenticazione predefinite sono elencate nella tabella seguente.

Applicazione virtuale Livelli di autenticazione
Sito Web predefinito/ADFS Autenticazione anonima
Sito Web predefinito/ADFS/ls Autenticazione anonima, autenticazione di Windows

In ogni server federativo ADFS e in ogni proxy server federativo di ADFS, utilizzare le informazioni riportate nell'articolo Microsoft TechNet seguente per ripristinare le impostazioni di autenticazione predefinite per le applicazioni virtuali IIS di ADFS:

Configurazione dell'autenticazione in IIS 7

Per ulteriori informazioni su come risolvere questo errore, vedere i seguenti articoli della Microsoft Knowledge Base:

  • 907273 risoluzione dei problemi relativi agli errori HTTP 401 in IIS

  • 871179 viene visualizzato il messaggio di errore "errore HTTP 401,1-non autorizzato: accesso negato a causa di credenziali non valide" quando si tenta di accedere a un sito Web che fa parte di un pool di applicazioni di IIS 6,0

Soluzione 2: correggere il nome SPN della farm del server federativo di ADFS

Nota

Provare questa soluzione solo quando ADFS è implementato come server farm di Federazione. Non provare questa soluzione in una configurazione autonoma di ADFS.

Per risolvere il problema se il nome SPN per il servizio ADFS è perduto o danneggiato nell'account del servizio ADFS, eseguire la procedura seguente in un server della farm di server federativo di ADFS:

  1. Aprire lo snap-in Gestione servizi. A tale scopo, fare clic sul pulsante Start, scegliere tutti i programmi, strumenti di amministrazionee quindi fare clic su Servizi.

  2. Fare doppio clic su servizio Windows ad FS (2,0).

  3. Nella scheda accesso , prendere nota dell'account di servizio visualizzato in questo account.

  4. Fare clic su Start, scegliere Tutti i programmi e Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.

  5. Digitare il comando seguente e quindi premere INVIO.

    SetSPN –f –q host/<AD FS service name>
    

    Nota

    In questo comando <AD FS service name> rappresenta il nome di servizio completo del nome di dominio (FQDN) dell'endpoint del servizio ADFS. Non rappresenta il nome host di Windows del server AD FS.

    • Se per il comando viene restituita più di una voce e il risultato è associato a un account utente diverso da quello rilevato nel passaggio 3, rimuovere l'associazione. A tale scopo, utilizzare il seguente comando:

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Se per il comando vengono restituite più voci e l'SPN utilizza lo stesso nome del nome computer del server ADFS in Windows, il nome dell'endpoint federativo per ADFS non è corretto. Ad FS deve essere implementato di nuovo. Il nome di dominio completo della farm del server federativo di ADFS non deve essere identico a quello di un server esistente.

    • Se il nome SPN non esiste già, eseguire il comando riportato di seguito:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Nota

      In questo comando <username of service account> rappresenta il nome utente indicato nel passaggio 3.

  6. Dopo aver eseguito questi passaggi in tutti i server della farm di server federativo ADFS, fare clic con il pulsante destro del mouse su servizio Windows di ADFS (2,0) nello snap-in Gestione servizi e quindi fare clic su Riavvia.

Soluzione 3: risolvere i problemi di protezione estesa per l'autenticazione

Per risolvere il problema se la protezione estesa per l'autenticazione impedisce l'autenticazione con esito positivo, utilizzare uno dei metodi consigliati seguenti:

  • Metodo 1: utilizzare Windows Internet Explorer 8 (o una versione successiva del programma) per eseguire l'accesso.
  • Metodo 2: pubblicare i servizi ADFS su Internet in modo che il bridging SSL, la ripartizione del carico di servizio SSL o il filtro di pacchetti con stato non riscrivano i dati del payload IP. La raccomandazione per le procedure consigliate è l'utilizzo di un server proxy AD FS.
  • Metodo 3: chiudere o disabilitare le applicazioni di monitoraggio o di decrittografia SSL.

Se non è possibile utilizzare uno di questi metodi, per ovviare a questo problema, la protezione estesa per l'autenticazione può essere disabilitata per i client attivi e passivi.

Soluzione: disabilitare la protezione estesa per l'autenticazione

Avviso

Non è consigliabile utilizzare questa procedura come soluzione a lungo termine. La disattivazione della protezione estesa per l'autenticazione indebolisce il profilo di sicurezza del servizio ADFS non rilevando alcuni attacchi man-in-the-Middle sugli endpoint di autenticazione integrata di Windows.

Nota

Quando viene applicata questa soluzione per la funzionalità di applicazioni di terze parti, è necessario disinstallare anche gli hotfix sul sistema operativo client per la protezione estesa per l'autenticazione.

Per i client passivi

Per disabilitare la protezione estesa per l'autenticazione per i client passivi, eseguire la procedura seguente per le applicazioni virtuali IIS seguenti in tutti i server della farm di server federativo di ADFS:

  • Sito Web predefinito/ADFS
  • Sito Web predefinito/ADFS/ls

A tal fine, attenersi alla seguente procedura:

  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Open IIS Manager (IIS 7).
  2. In visualizzazione funzionalità fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare autenticazione di Windows.
  4. Nel riquadro azioni , fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare disattivata   dal menu a discesa protezione estesa .

Per i client attivi

Per disabilitare la protezione estesa per l'autenticazione per i client attivi, eseguire la procedura seguente nel server AD FS primario:

  1. Aprire Windows PowerShell.

  2. Eseguire il seguente comando per caricare lo snap-in di Windows PowerShell per ADFS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Eseguire il seguente comando per disabilitare la protezione estesa per l'autenticazione:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Riattivare la protezione estesa per l'autenticazione

Per i client passivi

Per riattivare la protezione estesa per l'autenticazione per i client passivi, eseguire la procedura seguente per le applicazioni virtuali IIS seguenti in tutti i server della farm di server federativo di ADFS:

  • Sito Web predefinito/ADFS
  • Sito Web predefinito/ADFS/ls

A tal fine, attenersi alla seguente procedura:

  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Open IIS Manager (IIS 7).
  2. In visualizzazione funzionalità fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare autenticazione di Windows.
  4. Nel riquadro azioni , fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare accetta dal menu a discesa protezione estesa .

Per i client attivi

Per riattivare la protezione estesa per l'autenticazione per i client attivi, eseguire la procedura seguente sul server ADFS primario:

  1. Aprire Windows PowerShell.

  2. Eseguire il seguente comando per caricare lo snap-in di Windows PowerShell per ADFS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Eseguire il seguente comando per abilitare la protezione estesa per l'autenticazione:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Soluzione 4: sostituire i record CNAME con un record per ADFS

Utilizzare gli strumenti di gestione DNS per sostituire ogni record di alias DNS (CNAME) utilizzato per il servizio federativo con un record di indirizzo DNS (A). Controllare anche le impostazioni DNS aziendali quando viene implementata una configurazione DNS split-brain. Per ulteriori informazioni su come gestire i record DNS, vedere Managing DNS Records.

Soluzione 5: configurare Internet Explorer come client ADFS per Single Sign-on (SSO)

Per ulteriori informazioni su come configurare Internet Explorer per l'accesso AD FS, vedere un utente federato viene richiesto in modo imprevisto per immettere le credenziali dell'account aziendale o dell'Istituto di istruzione.

Altre informazioni

Per proteggere una rete, AD FS utilizza la protezione estesa per l'autenticazione. La protezione estesa per l'autenticazione può impedire attacchi di tipo man-in-the-Middle, in cui un utente malintenzionato intercetta le credenziali di un client e le inoltra a un server. La protezione contro tali attacchi è resa possibile tramite l'utilizzo di Channel Binding Works (CBT). CBT può essere necessario, consentito o non richiesto dal server quando le comunicazioni sono stabilite con i client.

L'impostazione ExtendedProtectionTokenCheck ad FS consente di specificare il livello di protezione estesa per l'autenticazione supportata dal server federativo. Questi sono i valori disponibili per questa impostazione:

  • Richiedi: il server è completamente indurito. La protezione estesa viene applicata.
  • Allow: questa è l'impostazione predefinita. Il server è parzialmente indurito. La protezione estesa viene applicata ai sistemi coinvolti che sono stati modificati per supportare questa funzionalità.
  • None: il server è vulnerabile. La protezione estesa non viene applicata.

Nelle tabelle seguenti viene descritto il funzionamento dell'autenticazione per tre sistemi operativi e browser, a seconda delle diverse opzioni di protezione estese disponibili in AD FS con IIS.

Nota

I sistemi operativi Windows client devono disporre di aggiornamenti specifici che vengono installati per utilizzare efficacemente le funzionalità di protezione estese. Per impostazione predefinita, le funzionalità sono abilitate in AD FS.

Per impostazione predefinita, Windows 7 include i file binari idonei per l'utilizzo della protezione estesa.

Windows 7 (o versioni adeguatamente aggiornate di Windows Vista o Windows XP)

Impostazione Richiedono Consenti (impostazione predefinita) Nessuno
Client di Windows Communication Foundation (WCF) (tutti gli endpoint) Funzionamento Funzionamento Funzionamento
Internet Explorer 8 e versioni successive Funzionamento Funzionamento Funzionamento
Firefox 3,6 Non Non Funzionamento
Safari 4.0.4 Non Non Funzionamento

Windows Vista senza aggiornamenti adeguati

Impostazione Richiedono Consenti (impostazione predefinita) Nessuno
Client WCF (tutti gli endpoint) Non Funzionamento Funzionamento
Internet Explorer 8 e versioni successive Funzionamento Funzionamento Funzionamento
Firefox 3,6 Non Funzionamento Funzionamento
Safari 4.0.4 Non Funzionamento Funzionamento

Windows XP senza aggiornamenti adeguati

Impostazione Richiedono Consenti (impostazione predefinita) Nessuno
Internet Explorer 8 e versioni successive Funzionamento Funzionamento Funzionamento
Firefox 3,6 Non Funzionamento Funzionamento
Safari 4.0.4 Non Funzionamento Funzionamento

Per ulteriori informazioni sulla protezione estesa per l'autenticazione, vedere la seguente risorsa Microsoft:

Configurazione delle opzioni avanzate per ADFS 2,0

Per ulteriori informazioni sul cmdlet Set-ADFSProperties, visitare il seguente sito Web Microsoft:

Set-ADFSProperties

Ulteriore assistenza Visitare la community Microsoft o il sito Web dei forum di Azure Active Directory.

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti