Solucionar problemas de logon iniciado por IdP do AD FS (Serviços de Federação do Active Directory)

  • Artigo

A página de logon do AD FS (Serviços de Federação do Active Directory) pode ser usada para verificar se a autenticação está funcionando. Para fazer esse teste, acesse a página e faça logon. Além disso, é possível usar a página de logon para verificar se todas as partes confiáveis do SAML 2.0 estão listadas.

Habilitar a página de logon iniciado por IdP

Por padrão, a página de logon não está habilitada no AD FS para Windows 2016. Para habilitar a página, use o comando do PowerShell Set-AdfsProperties. Usar o seguinte procedimento para habilitar a página:

  1. Abra o Windows PowerShell.

  2. Digite Get-AdfsProperties e pressione Enter.

  3. Verifique se a propriedade EnableIdpInitiatedSignonPage está definida como false.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. No PowerShell, insira Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.

  5. O PowerShell não fornece uma confirmação para o comando Set-AdfsProperties. Para confirmar se a propriedade EnableIdpInitatedSignonPage está configurada como true, insira o comando Get-AdfsProperties novamente e verifique o valor da propriedade.

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Testar autenticação

Use o procedimento a seguir para testar a autenticação do AD FS com a página de logon iniciado por IdP.

  1. Abra um navegador da Web e acesse a página de logon por IdP. A URL pode parecer com https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Você deverá ser solicitado a entrar. Insira suas credenciais.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Se o processo for bem-sucedido, você estará conectado.

Autenticação de teste com logon contínuo

É possível testar a experiência de logon contínuo verificando se a URL dos servidores do AD FS está adicionada à zona de intranet local de suas opções de Internet. Use este procedimento:

  1. Em um cliente do Windows 10, selecione Iniciar, insira opções de Internet e clique em Opções de Internet.

  2. Selecione a guia Segurança, clique em Intranet local e, em seguida, escolha Sites.

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Selecione Avançado.

  4. Insira a URL e selecione Adicionar. Selecione Fechar.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Selecione OK. Em seguida, selecione Ok para fechar as opções de Internet.

  6. Abra um navegador da Web e acesse a página de logon por IdP. A URL pode parecer com https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Pressione o botão Logon. Você deve entrar automaticamente e não deve ser solicitado a fornecer credenciais.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Problemas Conhecidos

A página de logon do AD FS não pode ser usada para iniciar um logon com uma relação de confiança de provedor de declarações configurada somente com um ponto de extremidade passivo de WS-Federation. Registre uma terceira parte confiável, como ClaimsXRay, para verificar se parte confiável do provedor de declarações do Web Services Federation funciona conforme o esperado.

Próximas etapas