Um usuário federado é solicitado repetidamente por credenciais durante a entrada no Office 365, no Azure ou no Intune

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Importante

Este artigo contém informações que mostram como ajudar a reduzir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para resolver um problema específico. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados à implementação dessa solução alternativa em seu ambiente específico. Se você implementar essa solução alternativa, execute as etapas apropriadas adicionais para ajudar a proteger o computador.

Problema

Um usuário federado é solicitado repetidamente por credenciais quando o usuário tenta autenticar no ponto de extremidade de serviço dos serviços de Federação do Active Directory (AD FS) durante a entrada para um serviço de nuvem da Microsoft, como o Office 365, o Microsoft Azure ou o Microsoft Intune. Quando o usuário cancela, o usuário recebe a mensagem de erro de acesso negado .

Motivo

O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Esse problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:

  • Foi usado um nome de usuário ou senha incorreto.

  • As configurações de autenticação do IIS (serviços de informações da Internet) estão configuradas incorretamente no AD FS.

  • O nome da entidade de serviço (SPN) associado à conta de serviço usada para executar o farm do servidor de Federação do AD FS é perdido ou corrompido.

    Observação

    Isso ocorre somente quando o AD FS é implementado como um farm de servidores de Federação e não é implementado em uma configuração autônoma.

  • Um ou mais dos itens a seguir são identificados pela proteção estendida para autenticação como uma fonte de um ataque man-in-Middle:

    • Alguns navegadores da Internet de terceiros
    • O firewall de rede corporativa, o balanceador de carga de rede ou outro dispositivo de rede está publicando o serviço de Federação do AD FS na Internet de forma que os dados de carga de IP possam ser reconfigurados. Isso possivelmente inclui os seguintes tipos de dados:
      • Ponte SSL (Secure Sockets Layer)

      • Descarregamento de SSL

      • Filtragem de pacotes com estado

        Para obter mais informações, consulte o seguinte artigo da base de dados de conhecimento da Microsoft:

        2510193   Cenários com suporte para usar o AD FS para configurar o logon único no Office 365, no Azure ou no Intune

    • Um aplicativo de monitoramento ou descriptografia SSL está instalado ou está ativo no computador cliente
  • A resolução de DNS (sistema de nomes de domínio) do ponto de extremidade de serviço do AD FS foi executada através da pesquisa de registro CNAME em vez de por meio de uma pesquisa de registro A.

  • O Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor do AD FS.

Antes de iniciar a solução de problemas

Verifique se o nome de usuário e a senha não são a causa do problema.

  • Certifique-se de que o nome de usuário correto é usado e está no formato UPN (nome principal do usuário). Por exemplo, johnsmith@contoso.com.

  • Verifique se a senha correta é usada. Para verificar novamente se a senha correta é usada, talvez seja necessário redefinir a senha do usuário. Para obter mais informações, consulte o seguinte artigo da Microsoft TechNet:

    Redefinir uma senha de usuário

  • Verifique se a conta não está bloqueada, expirada ou usada fora do horário de logon designado. Para obter mais informações, consulte o seguinte artigo da Microsoft TechNet: Managing Users

Verificar a causa

Para verificar se os problemas Kerberos estão causando o problema, ignore temporariamente a autenticação Kerberos habilitando a autenticação baseada em formulários no farm do servidor de Federação do AD FS. Para fazer isso, siga estas etapas:

Etapa 1: editar o arquivo de web.config em cada servidor no farm do servidor de Federação do AD FS

  1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e faça uma cópia de backup do arquivo de web.config.

  2. Clique em Iniciar, em todos os programas, em acessórios, clique com o botão direito do mouse no bloco de notase, em seguida, clique em Executar como administrador.

  3. No menu arquivo , clique em abrir. Na caixa nome do arquivo , digite C:\inetpub\adfs\ls\web.config e clique em abrir.

  4. No arquivo web.config, siga estas etapas:

    1. Localize a linha que contém <authentication mode> e altere-a para <authentication mode="Forms"/> .

    2. Localize a seção que começa com <localAuthenticationTypes> e, em seguida, altere a seção de modo que a entrada <adicionar nome = "formulários"> seja listada primeiro, da seguinte maneira:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. No menu Arquivo, clique em Salvar.

  6. Em um prompt de comando com privilégios elevados, reinicie o IIS usando o iisresetcommand.

Etapa 2: testar a funcionalidade do AD FS

  1. Em um computador cliente conectado e autenticado para o ambiente do AD DS local, entre no portal do serviço de nuvem.

    Em vez de uma experiência de autenticação transparente, uma entrada baseada em formulários deve ser experiente. Se o logon for bem-sucedido usando a autenticação baseada em formulários, isso confirmará que um problema com Kerberos existe no serviço de Federação do AD FS.

  2. Reverta a configuração de cada servidor no farm do servidor de Federação do AD FS para as configurações de autenticação anteriores antes de seguir as etapas na seção "resolução". Para reverter a configuração de cada servidor no farm do servidor de Federação do AD FS, siga estas etapas:

    1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e exclua o arquivo web.config.
    2. Mova o backup do arquivo de web.config que você criou na seção "etapa 1: editar o arquivo de web.config em cada servidor no farm do servidor de Federação do AD FS" para a pasta C:\inetpub\adfs\ls\
  3. Em um prompt de comando com privilégios elevados, reinicie o IIS usando o iisresetcommand.

  4. Verifique se o comportamento de autenticação do AD FS reverte para o problema original.

Solução

Para resolver o problema de Kerberos que limita a autenticação do AD FS, use um ou mais dos seguintes métodos, conforme apropriado para a situação.

Resolução 1: redefinir as configurações de autenticação do AD FS para os valores padrão

Se as configurações de autenticação do AD FS IIS estiverem incorretas ou as configurações de autenticação do IIS para serviços de Federação do AD FS e serviços de proxy não forem correspondentes, uma solução será redefinir todas as configurações de autenticação do IIS para as configurações padrão do AD FS.

As configurações de autenticação padrão estão listadas na tabela a seguir.

Aplicativo virtual Nível (s) de autenticação
Site da Web padrão/ADFS Autenticação anônima
Site da Web padrão/adfs/ls Autenticação anônima, autenticação do Windows

Em cada servidor de Federação do AD FS e em cada proxy do servidor de Federação do AD FS, use as informações no seguinte artigo da Microsoft TechNet para redefinir os aplicativos virtuais do IIS do AD FS para as configurações de autenticação padrão:

Configurando a autenticação no IIS 7

Para obter mais informações sobre como resolver esse erro, consulte os seguintes artigos da base de conhecimento da Microsoft:

  • 907273 Solucionando problemas de http 401 erros no IIS

  • 871179 você recebe uma mensagem de erro "erro http 401,1-não autorizado: acesso negado devido a credenciais inválidas" ao tentar acessar um site que faz parte de um pool de aplicativos do IIS 6,0

Resolução 2: corrija o SPN do farm do servidor de Federação do AD FS

Observação

Tente esta resolução somente quando o AD FS for implementado como um farm de servidores de Federação. Não tente esta resolução em uma configuração autônoma do AD FS.

Para resolver o problema se o SPN para o serviço do AD FS for perdido ou estiver corrompido na conta de serviço do AD FS, siga estas etapas em um servidor no farm do servidor de Federação do AD FS:

  1. Abra o snap-in Gerenciamento de serviços. Para fazer isso, clique em Iniciar, em todos os programas, em Ferramentas administrativase em Serviços.

  2. Clique duas vezes em serviço do Windows AD FS (2,0).

  3. Na guia logon , observe a conta de serviço que é exibida nesta conta.

  4. Clique em Iniciar, Todos os Programas, Acessórios, clique o botão direito no Prompt de comando, e depois clique em Executar como administrador.

  5. Digite o seguinte comando e pressione Enter.

    SetSPN –f –q host/<AD FS service name>
    

    Observação

    Neste comando, <AD FS service name> representa o nome de serviço de FQDN (nome de domínio totalmente qualificado) do ponto de extremidade de serviço do AD FS. Ele não representa o nome de host do Windows do servidor AD FS.

    • Se mais de uma entrada for retornada para o comando e o resultado estiver associado a uma conta de usuário diferente da que foi observada na etapa 3, remova essa associação. Para fazer isso, execute o seguinte comando:

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Se mais de uma entrada for retornada para o comando e o SPN usar o mesmo nome que o nome do computador do servidor do AD FS no Windows, o nome do ponto de extremidade de Federação do AD FS será incorreto. O AD FS deve ser implementado novamente. O FQDN do farm do servidor de Federação do AD FS não deve ser idêntico ao nome de host do Windows de um servidor existente.

    • Se o SPN ainda não existir, execute o seguinte comando:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Observação

      Neste comando, <username of service account> representa o nome de usuário que foi observado na etapa 3.

  6. Após a execução dessas etapas em todos os servidores do farm do servidor de Federação do AD FS, clique com o botão direito em serviço do Windows AD FS (2,0) no snap-in Gerenciamento de serviços e clique em reiniciar.

Resolução 3: resolver a proteção estendida para questões de autenticação

Para resolver o problema se a proteção estendida para autenticação impedir uma autenticação bem-sucedida, use um dos seguintes métodos recomendados:

  • Método 1: Use o Windows Internet Explorer 8 (ou uma versão posterior do programa) para entrar.
  • Método 2: publicar serviços do AD FS na Internet de modo que a ponte SSL, o descarregamento SSL ou a filtragem de pacotes com estado não reescreva dados de carga de IP. A recomendação de práticas recomendadas para essa finalidade é usar um servidor de proxy do AD FS.
  • Método 3: fechar ou desabilitar o monitoramento ou descriptografar aplicativos.

Se você não puder usar qualquer um desses métodos, para resolver esse problema, a proteção estendida para autenticação pode ser desabilitada para clientes passivos e ativos.

Solução alternativa: desabilitar a proteção estendida para autenticação

Aviso

Não é recomendável usar esse procedimento como uma solução de longo prazo. Desabilitar a proteção estendida para autenticação enfraquece o perfil de segurança do serviço do AD FS, não detectando certos ataques de interceptadores em pontos de extremidade de autenticação integrada do Windows.

Observação

Quando essa solução alternativa é aplicada para funcionalidade de aplicativo de terceiros, você também deve desinstalar hotfixes no sistema operacional cliente para proteção estendida para autenticação.

Para clientes passivos

Para desabilitar a proteção estendida para autenticação para clientes passivos, execute o procedimento a seguir para os seguintes aplicativos virtuais do IIS em todos os servidores no farm do servidor de Federação do AD FS:

  • Site da Web padrão/ADFS
  • Site da Web padrão/adfs/ls

Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS e navegue até o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, confira abrir o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página autenticação, selecione autenticação do Windows.
  4. No painel ações , clique em Configurações avançadas.
  5. Quando a caixa de diálogo Configurações avançadas for exibida, selecione desativado   no menu suspenso proteção estendida .

Para clientes ativos

Para desabilitar a proteção estendida para autenticação para clientes ativos, execute o seguinte procedimento no servidor primário do AD FS:

  1. Abra o PowerShell do Windows.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Execute o seguinte comando para desabilitar a proteção estendida para autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Reabilitar a proteção estendida para autenticação

Para clientes passivos

Para habilitar novamente a proteção estendida para autenticação de clientes passivos, execute o seguinte procedimento para os seguintes aplicativos virtuais do IIS em todos os servidores no farm do servidor de Federação do AD FS:

  • Site da Web padrão/ADFS
  • Site da Web padrão/adfs/ls

Para fazer isso, siga estas etapas:

  1. Abra o Gerenciador do IIS e navegue até o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, confira abrir o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página autenticação, selecione autenticação do Windows.
  4. No painel ações , clique em Configurações avançadas.
  5. Quando a caixa de diálogo Configurações avançadas for exibida, selecione aceitar no menu suspenso proteção estendida .

Para clientes ativos

Para reabilitar a proteção estendida para autenticação para clientes ativos, execute o procedimento a seguir no servidor do AD FS primário:

  1. Abra o PowerShell do Windows.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Execute o seguinte comando para habilitar a proteção estendida para autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Resolução 4: substituir registros CNAME por registros do AD FS

Use as ferramentas de gerenciamento de DNS para substituir cada registro de alias de DNS (CNAME) usado para o serviço de Federação com um registro de endereço (A) DNS. Além disso, verifique ou considere as configurações de DNS corporativos quando uma configuração de DNS de Split-Brain for implementada. Para obter mais informações sobre como gerenciar registros DNS, consulte Managing DNS Records.

Resolução 5: configurar o Internet Explorer como um cliente do AD FS para logon único (SSO)

Para obter mais informações sobre como configurar o Internet Explorer para acesso do AD FS, consulte um usuário federado é solicitado inesperadamente a inserir credenciais de conta corporativa ou de estudante.

Mais informações

Para ajudar a proteger uma rede, o AD FS usa proteção estendida para autenticação. A proteção estendida para autenticação pode ajudar a evitar ataques man-in-the-Middle nos quais um invasor intercepta as credenciais de um cliente e as encaminha para um servidor. A proteção contra esses ataques é possibilitada por meio do uso da Associação de canal (CBT). O CBT pode ser necessário, permitido ou não ser exigido pelo servidor quando as comunicações são estabelecidas com clientes.

A configuração do AD FS ExtendedProtectionTokenCheck especifica o nível de proteção estendida para autenticação que é compatível com o servidor de Federação. Estes são os valores disponíveis para esta configuração:

  • Exigir: o servidor está totalmente protegido. A proteção estendida é imposta.
  • Permitir: esta é a configuração padrão. O servidor é protegido parcialmente. A proteção estendida é imposta para sistemas envolvidos que foram alterados para dar suporte a esse recurso.
  • Nenhum: o servidor está vulnerável. A proteção estendida não é imposta.

As tabelas a seguir descrevem como a autenticação Opera para três sistemas operacionais e navegadores, dependendo das diferentes opções de proteção estendida que estão disponíveis no AD FS com o IIS.

Observação

Os sistemas operacionais do cliente Windows devem ter atualizações específicas instaladas para usar efetivamente os recursos de proteção estendidos. Por padrão, os recursos estão habilitados no AD FS.

Por padrão, o Windows 7 inclui os binários apropriados para usar a proteção estendida.

Windows 7 (ou versões devidamente atualizadas do Windows Vista ou Windows XP)

Configuração Precisa Permitir (o padrão) Nenhum
Cliente do Windows Communication Foundation (WCF) (todos os pontos de extremidade) Indicado Indicado Indicado
Internet Explorer 8 e versões posteriores Indicado Indicado Indicado
Firefox 3,6 Houver Houver Indicado
Safari 4.0.4 Houver Houver Indicado

Windows Vista sem atualizações apropriadas

Configuração Precisa Permitir (o padrão) Nenhum
Cliente WCF (todos os pontos de extremidade) Houver Indicado Indicado
Internet Explorer 8 e versões posteriores Indicado Indicado Indicado
Firefox 3,6 Houver Indicado Indicado
Safari 4.0.4 Houver Indicado Indicado

Windows XP sem atualizações apropriadas

Configuração Precisa Permitir (o padrão) Nenhum
Internet Explorer 8 e versões posteriores Indicado Indicado Indicado
Firefox 3,6 Houver Indicado Indicado
Safari 4.0.4 Houver Indicado Indicado

Para obter mais informações sobre a proteção estendida para autenticação, consulte o seguinte recurso da Microsoft:

Configurando opções avançadas para o AD FS 2,0

Para obter mais informações sobre o cmdlet Set-ADFSproperties, acesse o seguinte site da Microsoft:

Set-ADFSproperties

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Azure Active Directory.

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.