"Houve um problema de acesso ao site" erro da AD FS quando um utilizador federado entra no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Problema

Quando um utilizador federado tenta iniciar sessão num serviço de nuvem da Microsoft, como o Office 365, o Microsoft Azure ou o Microsoft Intune, o utilizador recebe a seguinte mensagem de erro dos Serviços da Federação de Diretórios Ativos (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Quando este erro ocorre, a barra de endereço do navegador web aponta para o ponto final aD FS no local num endereço que se assemelha ao seguinte:

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Causa

Esta questão pode ocorrer por uma das seguintes razões:

  • A configuração de um único sign-on (SSO) através de AD FS não foi concluída.
  • O certificado de assinatura de fichas AD FS expirou.
  • As alegações da política de acesso ao cliente DaD FS são configuradas incorretamente.
  • Falta a confiança do partido com o Azure Ative Directory (Azure AD) ou está incorretamente configurada.
  • O servidor proxy da federação AD FS é configurado incorretamente ou exposto incorretamente.
  • A conta AD FS IUSR não tem a permissão do utilizador "Personificar um cliente após a autenticação".

Solução

Para resolver este problema, use o método apropriado para a sua situação.

Cenário 1: Expirado o certificado de assinatura de fichas AD FS

Verifique se o certificado de assinatura de token está caducado

Para verificar se o certificado de assinatura de símbolos expirou, siga estes passos:

  1. Clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas, e, em seguida, clique em Gestão AD FS (2.0)
  2. Na consola de gestão AD FS, clique em Serviço, clique em Certificadose, em seguida, examine as datas de emissão e eficácia e expiração para o certificado de assinatura de token AD FS.

Se o certificado estiver caducada, este tem de ser renovado para restaurar a funcionalidade de autenticação SSO.

Renovar o certificado de assinatura de símbolos (se tiver expirado)

Para renovar o certificado de assinatura de token no servidor Principal AD FS utilizando um certificado auto-assinado, siga estes passos:

  1. Na mesma consola de gestão AD FS, clique em Serviço, clique em Certificados, e depois, em **Certificações **no painel de Ações, clique em Adicionar Certificado de Assinatura de Token.
  2. Se aparecer um aviso de "Certificados não podem ser modificados enquanto a função de capotamento automático do certificado AD FS estiver ativada", vá para o passo 3. Caso contrário, verifique as datas efetivas e de validade do certificado. Se o certificado for renovado com sucesso, não tem de realizar os passos 3 e 4.
  3. Se o certificado não for renovado, clique em Iniciar, apontar para Todos os Programas, clicar em Acessórios, clicar na pasta PowerShell do Windows, clicar no Windows PowerShelle clicar em Executar como administrador. Accessories
  4. No pedido de comando do Windows PowerShell, introduza os seguintes comandos. Pressione Introduza depois de entrar em cada comando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Atualização-ADFSCertificado -CertificateType: Token-Signing

Para renovar o certificado de assinatura de token no servidor principal da AD FS utilizando um certificado assinado pela autoridade de certificação (CA), siga estes passos:

  1. Crie o ficheiro WebServerTemplate.inf. To do this, follow these steps:

    1. Inicie o Bloco de Notas e abra um novo documento em branco.

    2. Colar o seguinte no ficheiro:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. No ficheiro, altere o sujeito="CN=adfs.contoso.com" para o seguinte:

      sujeito="CN=o seu nome de serviço da federação "

    4. No menu 'Ficheiro', clique em Guardar As.

    5. Na caixa de diálogo ** Save As, clique em Todos os Ficheiros (.) ** na caixa de tipo Save.

    6. Digite webServerTemplate.inf na caixa de nome sinuosa e, em seguida, clique em Guardar.

  2. Copie o ficheiro WebServerTemplate.inf para um dos seus servidores da Federação AD FS.

  3. No servidor AD FS, abra uma janela de comando administrativo.

  4. Utilize o comando cd (diretório de alteração) para mudar para o diretório onde copiou o ficheiro .inf.

  5. Digite o seguinte comando e, em seguida, prima Enter:

    CertReq.exe -Novo WebServerTemplate.inf AdfsSSL.req

  6. Envie o ficheiro de saída, AdfsSSL.req, para o seu CA para a assinatura.

  7. A AC devolverá uma parte da chave pública assinada em formato .p7b ou .cer. Copie este ficheiro para o seu servidor AD FS onde gerou o pedido.

  8. No servidor AD FS, abra uma janela de comando administrativo.

  9. Utilize o comando cd (diretório de alteração) para alterar para o diretório onde copiou o ficheiro .p7b ou .cer.

  10. Digite o seguinte comando e, em seguida, prima Enter:

    CertReq.exe -Aceite "file-from-your-CA-p7b-or-cer"

Termine de restaurar a funcionalidade SSO

Independentemente de ser utilizado um certificado auto-assinado ou assinado por CA, deverá terminar de restaurar a funcionalidade de autenticação SSO. To do this, follow these steps:

  1. Adicione o acesso à chave privada para a conta de serviço AD FS no servidor Principal AD FS. To do this, follow these steps:
    1. Clique em Iniciar, clique em Executar, digite mmc.exe e, em seguida, prima Enter.
    2. No menu 'Ficheiro', clique em Adicionar/Remover o Snap-in.
    3. Verifique os certificadosde duplo clique, selecione a conta de computadore, em seguida, clique em Seguinte.
    4. Selecione computador local, clique em Terminar, e depois clique em OK.
    5. Expandir Certificados (Computador Local), expandir Pessoal, e clicar em Certificados.
    6. Clique no novo certificado de assinatura de token, aponte para Todas as Tarefase, em seguida, clique em Gerir Chaves Privadas.
    7. Adicione o acesso à conta de serviço AD FS e, em seguida, clique em OK.
    8. Saia dos Certificados.
  2. Atualize a impressão digital do novo certificado e a data da confiança do partido com a Azure AD. Para tal, consulte a secção "Como atualizar a configuração do domínio federado do Office 365" em Como atualizar ou reparar as definições de um domínio federado no Office 365, Azure ou Intune.
  3. Recriar a configuração de confiança proxy AD FS. To do this, follow these steps:
    1. Reiniciar o Serviço AD FS Windows no servidor Principal AD FS.
    2. Aguarde 10 minutos para que o certificado se reproduza a todos os membros da quinta de servidores da federação e, em seguida, reinicie o Serviço AD FS Windows nos restantes servidores AD FS.
    3. Reexecutar o Assistente de Configuração proxy em cada servidor proxy AD FS. Para mais informações, consulte Configure um computador para o papelde procuração do servidor da federação .

Cenário 2: Atualizou recentemente a política de acesso ao cliente através de reclamações, e agora o login não funciona

Verifique se a política de acesso ao cliente foi aplicada corretamente. Para mais informações, consulte limitar o acesso aos serviços do Office 365 com base na localização do cliente.

Cenário 3: O ponto final dos metadados da federação ou a confiança do partido pode ser desativado

Ative o ponto final dos metadados da federação e a confiança do partido com a Azure AD no servidor principal da AD FS. To do this, follow these steps: 

  1. Abra a Consola de Gestão AD FS 2.0.
  2. Certifique-se de que o ponto final dos metadados da federação está ativado. To do this, follow these steps:
    1. No painel de navegação à esquerda, navegue para AD FS (2.0), Serviço, Pontos Finais.
    2. No painel central, clique à direita na entrada /Federation Metadata/2007-06/FederationMetadata.xml e, em seguida, clique para selecionar Ativar e ativar no Proxy.
  3. Certifique-se de que a confiança do partido com a AD Azure está ativada. To do this, follow these steps: 
    1. No painel de navegação à esquerda, navegue até AD FS (2.0), depois Trust Relationships, e depois Trusting Party Trusts.
    2. Se a Plataforma de Identidade do Microsoft Office 365 estiver presente, clique corretamente nesta entrada e, em seguida, clique em Ativar.
  4. Repare a confiança da parte fiduciária com a Azure AD, vendo a secção "Update trust properties" da Verificação e gerenciando um único sign-on com AD FS.

Cenário 4: A confiança do partido pode estar desaparecida ou corrompida

Remova e readicione a confiança do partido. To do this, follow these steps:

  1. Inicie sessão no servidor AD FS central.
  2. Clique em Iniciar, apontar para todos os programas, clicar em Ferramentas Administrativas, e, em seguida, clique em Gestão AD FS (2.0)
  3. Na consola de gestão, expanda a AD FS (2.0), expanda as Relações Trust, e depois expanda trusts de partidos dependentes.
  4. Se a Plataforma de Identidade do Microsoft Office 365 estiver presente, clique corretamente nesta entrada e, em seguida, clique em Eliminar.
  5. Readicione a confiança do partido que confia ao ver a secção "Atualizar propriedades fiduciárias" de Verificar e gerir um único sign-on com AD FS.

Cenário 5: A conta de serviço AD FS não tem a permissão do utilizador "Personificar um cliente após a autenticação"

Para conceder a permissão do utilizador "Personificar um cliente após a autenticação" para a conta de serviço AD FS IUSR, consulte a configuração da aplicação baseada em token do Windows NT.

Referências

Para obter mais informações sobre como resolver problemas de sessão de problemas para utilizadores federados, consulte os seguintes artigos da Microsoft Knowledge Base:

  • 2530569   Problemas de sessão de sessão única de set-on em Office 365, Intune ou Azure
  • 2712961   Como resolver problemas de ligação de ponto final da AD FS quando os utilizadores assinam no Office 365, Intune ou Azure  

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.