Configurazione autenticazione intranet basata su form per i dispositivi che non supportano WIAConfiguring intranet forms-based authentication for devices that do not support WIA

Per impostazione predefinita, l'autenticazione integrata Windows (WIA) sia attivato in Active Directory Federation Services (ADFS) in Windows Server 2012 R2 per le richieste di autenticazione che si verificano nella rete interna dell'organizzazione (intranet) per qualsiasi applicazione che utilizza un browser per l'autenticazione.By default, Windows Integrated Authentication (WIA) is enabled in Active Directory Federation Services (AD FS) in Windows Server 2012 R2 for authentication requests that occur within the organization’s internal network (intranet) for any application that uses a browser for its authentication. Può trattarsi, ad esempio, le applicazioni basate su browser che utilizzano WS-Federation o SAML protocolli e rich applicazioni che usano il protocollo OAuth.For example, these can be browser-based applications that use WS-Federation or SAML protocols and rich applications that use the OAuth protocol. WIA fornisce agli utenti finali con accesso trasparente alle applicazioni senza dover immettere manualmente le proprie credenziali.WIA provides end users with seamless logon to the applications without having to manually entering their credentials. Tuttavia, alcuni dispositivi e browser non sono in grado di supportare WIA e di conseguenza non le richieste di autenticazione da tali dispositivi.However, some devices and browsers are not capable of supporting WIA and as a result authentication requests from these devices fail. Inoltre, l'esperienza in alcuni browser che negoziano NTLM non è auspicabile.Also, the experience on certain browsers that negotiate to NTLM is not desirable. L'approccio consigliato è di fallback per l'autenticazione basata su form per tali dispositivi e browser.The recommended approach is to fallback to forms-based authentication for such devices and browsers.

ADFS in Windows Server 2012 R2 e Windows Server 2016 fornisce agli amministratori la possibilità di configurare l'elenco degli agenti utente che supportano il fallback per l'autenticazione basata su form.AD FS in Windows Server 2016 and Windows Server 2012 R2 provides the administrators with the ability to configure the list of user agents that support the fallback to forms-based authentication. Il fallback è reso possibile da due configurazioni:The fallback is made possible by two configurations:

  • Il WIASupportedUserAgentStrings di proprietà di Set-ADFSProperties cmdletThe WIASupportedUserAgentStrings property of the Set-ADFSProperties commandlet
  • Il WindowsIntegratedFallbackEnabled proprietà del Set-AdfsGlobalAuthenticationPolicy commandletThe WindowsIntegratedFallbackEnabled property of the Set-AdfsGlobalAuthenticationPolicy commandlet

Il WIASupportedUserAgentStrings definisce gli agenti utente che supportano WIA.The WIASupportedUserAgentStrings defines the user agents which support WIA. ADFS consente di analizzare la stringa agente utente durante l'esecuzione di account di accesso in un browser o un controllo browser.AD FS analyzes the user agent string when performing logins in a browser or browser control. Se il componente della stringa agente utente non corrisponde ad alcuno dei componenti delle stringhe agente utente configurate nel WIASupportedUserAgentStrings proprietà ADFS eseguirà il fallback l'autenticazione basata su form, a condizione che il WindowsIntegratedFallbackEnabled flag è impostato su True.If the component of the user agent string does not match any of the components of the user agent strings that are configured in WIASupportedUserAgentStrings property, AD FS will fall back to providing forms-based authentication, provided that the WindowsIntegratedFallbackEnabled flag is set to True.

Per impostazione predefinita, una nuova installazione di ADFS è un insieme di corrispondenze di stringa agente utente creato.By default, a new AD FS installation has a set of user agent string matches created. Tuttavia, le possono essere aggiornate in base alle modifiche apportate al browser e dispositivi.However, these may be out of date based on changes to browsers and devices. In particolare, i dispositivi Windows hanno stringhe agente utente simili con lievi variazioni nei token.Particularly, Windows devices have similar user agent strings with minor variations in the tokens. Nell'esempio seguente di Windows PowerShell fornisce le migliori indicazioni per il set corrente di dispositivi presenti sul mercato che supportano WIA trasparente:The following Windows PowerShell example provides the best guidance for the current set of devices that are on the market today that support seamless WIA:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")

Il comando precedente garantisce che ADFS riguarda solo i seguenti casi di utilizzo per WIA:The command above will ensure that AD FS only covers the following use cases for WIA:

Agenti utenteUser Agents Casi di utilizzoUse cases
MSIE 6.0MSIE 6.0 INTERNET EXPLORER 6.0IE 6.0
MSIE 7.0; Windows NTMSIE 7.0; Windows NT Internet Explorer 7, Internet Explorer nell'area intranet.IE 7, IE in intranet zone. Il frammento "Windows NT" viene inviato dal sistema operativo desktop.The “Windows NT” fragment is sent by desktop operation system.
MSIE 8.0MSIE 8.0 Internet Explorer 8.0 (i dispositivi non inviare questa, pertanto è necessario rendere più specifica)IE 8.0 (no devices send this, so need to make more specific)
MSIE 9.0MSIE 9.0 Internet Explorer 9.0 (i dispositivi non inviano, non è necessario rendere più specifico)IE 9.0 (no devices send this, so no need to make this more specific)
MSIE 10.0; Windows NT 6MSIE 10.0; Windows NT 6 Internet Explorer 10.0 per Windows XP e versioni più recenti del sistema operativo desktopIE 10.0 for Windows XP and newer versions of desktop operating system
I dispositivi Windows Phone 8.0 (con preferenza impostata al cellulare) sono esclusi perché invianoWindows Phone 8.0 devices (with preference set to mobile) are excluded because they send

Agente utente: Mozilla/5.0 (compatibile; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Tocco. NOKIA; Lumia 920)User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920)
Windows NT 6.3; Trident/7.0Windows NT 6.3; Trident/7.0
Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; WOW64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0
Sistema operativo desktop di Windows 8.1, piattaforme diverseWindows 8.1 desktop operating system, different platforms
Windows NT 6.2; Trident/7.0Windows NT 6.2; Trident/7.0
Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; WOW64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0
Sistema operativo desktop Windows 8, piattaforme diverseWindows 8 desktop operating system, different platforms
Windows NT 6.1; Trident/7.0Windows NT 6.1; Trident/7.0
Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; WOW64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0
Sistema operativo desktop Windows 7, piattaforme diverseWindows 7 desktop operating system, different platforms
MSIPCMSIPC Protezione delle informazioni di Microsoft e Client di controlloMicrosoft Information Protection and Control Client
Client Windows Rights ManagementWindows Rights Management Client Client Windows Rights ManagementWindows Rights Management Client

Per permettere il fallback all'autenticazione form di base per gli agenti utente diverse da quelle indicate nella stringa di WIASupportedUserAgents, impostare il flag WindowsIntegratedFallbackEnabled su trueIn order to enable fallback to form based authentication for user agents other than those mentioned in the WIASupportedUserAgents string, set the WindowsIntegratedFallbackEnabled flag to true

Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true

Assicurarsi inoltre che l'autenticazione basata su form è abilitata per la rete intranet.Also ensure that the forms based authentication is enabled for intranet.

Configurazione WIA per ChromeConfiguring WIA for Chrome

È possibile aggiungere altri agenti utente o Chrome per la configurazione di ADFS che supporta WIA.You can add Chrome or other user agents to the AD FS configuration that supports WIA. In questo modo l'accesso trasparente alle applicazioni senza dover immettere manualmente le credenziali quando si accede a risorse protette da ADFS.This enables seamless logon to applications without having to manually enter credentials when you access resources protected by AD FS. Attenersi alla procedura seguente per abilitare WIA in Chrome:Follow the steps below to enable WIA on Chrome:

Aggiungere una stringa agente utente per Chrome nella configurazione di AD FSAdd a user agent string for Chrome in AD FS configuration

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + “Chrome”)

Verificare che la stringa agente utente per Chrome è ora impostata nelle proprietà di AD FSConfirm that the user agent string for Chrome is now set in the AD FS properties

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

configurare l'autenticazione

Nota

Non vengono rilasciati nuovi browser e dispositivi, è consigliabile che le funzionalità di tali agenti utente di riconciliare e aggiornare di conseguenza la configurazione di ADFS per ottimizzare l'esperienza di autenticazione dell'utente quando si utilizzando detto browser e dispositivi.As new browsers and devices are released, it is recommended that you reconcile the capabilities of those user agents and update the AD FS configuration accordingly to optimize the user’s authentication experience when using said browser and devices. In particolare, è consigliabile valutare nuovamente la WIASupportedUserAgents impostazione in ADFS, quando si aggiunge un nuovo tipo di dispositivo o browser alla matrice di supporto per WIA.More specifically, it is recommended that you re-evaluate the WIASupportedUserAgents setting in AD FS when adding a new device or browser type to your support matrix for WIA.