Configurar a autenticação baseada em formulários da intranet para dispositivos que não dão suporte à WIA (Autenticação Integrada do Windows)
Por padrão, a WIA (Autenticação Integrada do Windows) está habilitada no AD FS (Serviços de Federação do Active Directory) no Windows Server para solicitações de autenticação que ocorrerem dentro da rede interna da organização (intranet) para aplicativos que utilizem um navegador para a autenticação. Por exemplo, os aplicativos podem ser baseados em navegador que usam protocolos Web Services Federation ou SAML e aplicativos avançados que usam o protocolo OAuth. A WIA fornece aos usuários finais logon contínuo para os aplicativos sem precisar inserir manualmente suas credenciais. No entanto, alguns dispositivos e navegadores não são capazes de dar suporte à WIA e, como resultado, as solicitações de autenticação desses dispositivos falham. Além disso, a experiência em determinados navegadores que negociam com o NTLM não é desejável. A abordagem recomendada é voltar à autenticação baseada em formulários para esses dispositivos e navegadores.
O AD FS no Windows Server 2016 e no Windows Server 2012 R2 fornece aos administradores a capacidade de configurar a lista de agentes de usuário que dão suporte ao fallback para autenticação baseada em formulários. O fallback é possível por duas configurações:
- A propriedade WIASupportedUserAgentStrings do commandlet
Set-ADFSProperties - A propriedade WindowsIntegratedFallbackEnabled do commandlet
Set-AdfsGlobalAuthenticationPolicy
O WIASupportedUserAgentStrings define os agentes do usuário que dão suporte à WIA. O AD FS analisa a cadeia de caracteres de agente de usuário ao realizar logons em um navegador ou controle do navegador. Se o componente da cadeia de caracteres do agente do usuário não corresponder a nenhum dos componentes das cadeias de caracteres do agente do usuário configuradas na propriedade WIASupportedUserAgentStrings, o AD FS voltará a fornecer autenticação baseada em formulários, desde que o sinalizador WindowsIntegratedFallbackEnabled esteja definido como True.
Por padrão, uma nova instalação do AD FS tem um conjunto de correspondências de cadeia de caracteres de agente de usuário criadas. No entanto, poderão estar sem atualização com base nas alterações de navegadores e dispositivos. Particularmente, os dispositivos Windows têm cadeias de caracteres de agente de usuário semelhantes com pequenas variações nos tokens. O seguinte exemplo do PowerShell do Windows fornece as melhores diretrizes para o conjunto atual de dispositivos que estão atualmente no mercado e dão suporte à WIA contínua:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
O comando acima garantirá que o AD FS cubra apenas os seguintes casos de uso para a WIA:
| Agentes de usuário | Casos de uso |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE na zona da intranet. O fragmento "Windows NT" é enviado pelo sistema operacional de desktop. |
| MSIE 8.0 | IE 8.0 (nenhum dispositivo envia, então, é necessário ser mais específico) |
| MSIE 9.0 | IE 9.0 (nenhum dispositivo envia, então, não é necessário torná-lo mais específico) |
| MSIE 10.0; Windows NT 6 | IE 10.0 para Windows XP e versões mais recentes do sistema operacional de desktopDispositivos Windows Phone 8.0 (com preferência definida como móvel) são excluídos porque enviamAgente de Usuário: Mozilla/5.0 (compatível; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Sistema operacional de desktop do Windows 8.1, plataformas diferentes |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Sistema operacional de desktop do Windows 8, plataformas diferentes |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Sistema operacional de desktop do Windows 7, plataformas diferentes |
| MSIPC | Cliente de Information Protection and Control da Microsoft |
| Cliente do Windows Rights Management | Cliente do Windows Rights Management |
Para habilitar o fallback para autenticação baseada em formulário para agentes de usuário diferentes daqueles mencionados na cadeia de caracteres WIASupportedUserAgents, defina o sinalizador WindowsIntegratedFallbackEnabled como true
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Verifique também se a autenticação baseada em formulários está habilitada para intranet.
Configurando a WIA para Chrome
É possível adicionar o Chrome ou outros agentes de usuário à configuração do AD FS que dá suporte à WIA. Isso permite o logon contínuo em aplicativos sem precisar inserir credenciais manualmente ao acessar recursos protegidos pelo AD FS. Siga as etapas abaixo para habilitar a WIA no Chrome:
Na configuração do AD FS, adicione uma cadeia de caracteres de agente de usuário para o Chrome em plataformas baseadas no Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
E da mesma forma para o Chrome no Apple macOS, adicione a seguinte cadeia de caracteres de agente de usuário à configuração do AD FS:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Confirme se a cadeia de caracteres do agente do usuário para Chrome agora está definida nas propriedades do AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Observação
À medida que novos navegadores e dispositivos são lançados, é recomendável reconciliar os recursos desses agentes de usuário e atualizar a configuração do AD FS adequadamente para otimizar a experiência de autenticação do usuário ao usar o navegador e os dispositivos. Mais especificamente, é recomendável reavaliar a configuração WIASupportedUserAgents no AD FS ao adicionar um novo tipo de dispositivo ou navegador à matriz de suporte para a WIA.