Настройка проверки подлинности на основе форм интрасети для устройств, которые не поддерживают встроенную проверку подлинности Windows (WIA)
По умолчанию встроенная проверка подлинности Windows (WIA) включена в службы федерации Active Directory (AD FS) (AD FS) в Windows Server для запросов на проверку подлинности, которые происходят в внутренней сети организации (интрасети) для любого приложения, использующего браузер для его проверки подлинности. Например, приложения могут быть браузерными, которые используют протоколы WS-Federation или SAML и расширенные приложения, использующие протокол OAuth. WIA предоставляет конечным пользователям простой вход в приложения без необходимости вводить учетные данные вручную. Однако некоторые устройства и браузеры не могут поддерживать WIA, и в результате запросы проверки подлинности от этих устройств завершаются сбоем. Кроме того, взаимодействие с определенными браузерами, которые ведут переговоры с NTLM, нежелательно. Рекомендуемый подход — вернуться к проверке подлинности на основе форм для таких устройств и браузеров.
AD FS в Windows Server 2016 и Windows Server 2012 R2 предоставляют администраторам возможность настраивать список агентов пользователей, поддерживающих резервную проверку подлинности на основе форм. Резервная схема возможна двумя конфигурациями:
- Свойство WIASupportedUserAgentStrings в командлете
Set-ADFSProperties - Свойство WindowsIntegratedFallbackEnabled в командлете
Set-AdfsGlobalAuthenticationPolicy
WiASupportedUserAgentStrings определяет агенты пользователей, поддерживающие WIA. AD FS анализирует строку агента пользователя при выполнении входа в браузере или элементе управления браузером. Если компонент строки агента пользователя не соответствует ни одному из компонентов строк агента пользователя, настроенных в свойстве WIASupportedUserAgentStrings , AD FS возвращается к предоставлению проверки подлинности на основе форм, если флаг WindowsIntegratedFallbackEnabled имеет значение True.
По умолчанию новая установка AD FS содержит набор совпадений строки агента пользователя. Однако они могут быть устаревшими на основе изменений в браузерах и устройствах. В частности, устройства Windows имеют аналогичные строки агента пользователя с незначительными вариациями маркеров. В следующем примере Windows PowerShell приведены лучшие рекомендации для текущего набора устройств, которые находятся на рынке сегодня, которые поддерживают простой WIA:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Приведенная выше команда гарантирует, что AD FS охватывает только следующие варианты использования для WIA:
| Агенты пользователя | Случаи использования |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE в зоне интрасети. Фрагмент Windows NT отправляется системой операций рабочего стола. |
| MSIE 8.0 | IE 8.0 (устройства не отправляют это, поэтому необходимо сделать более конкретным) |
| MSIE 9.0 | IE 9.0 (устройства не отправляют это, поэтому не нужно делать это более конкретным) |
| MSIE 10.0; Windows NT 6 | IE 10.0 для Windows XP и более новых версий настольных операционных системWindows Телефон 8.0 (с предпочтениями для мобильных устройств) исключены из-за того, что они отправляютuser-Agent: Mozilla/5.0 (совместимо; MSIE 10.0; Windows Телефон 8.0; Trident/6.0; IEMobile/10.0; РУКУ; Сенсорный; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Операционная система Windows 8.1 для настольных компьютеров, разные платформы |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Операционная система Windows 8 для настольных компьютеров, разные платформы |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Операционная система Windows 7 для настольных компьютеров, разные платформы |
| MSIPC | Клиент Microsoft Information Protection и control |
| Клиент Windows Rights Management | Клиент Windows Rights Management |
Чтобы включить возврат к проверке подлинности на основе форм для агентов пользователей, отличных от упоминание в строке WIASupportedUserAgents, задайте для флага WindowsIntegratedFallbackEnabled значение true.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Кроме того, убедитесь, что для интрасети включена проверка подлинности на основе форм.
Настройка WIA для Chrome
Вы можете добавить Chrome или другие агенты пользователей в конфигурацию AD FS, поддерживающую WIA. Это позволяет легко входить в приложения без необходимости вручную вводить учетные данные при доступе к ресурсам, защищенным AD FS. Выполните следующие действия, чтобы включить WIA в Chrome:
В конфигурации AD FS добавьте строку агента пользователя для Chrome на платформах под управлением Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Кроме того, для Chrome в Apple macOS добавьте следующую строку агента пользователя в конфигурацию AD FS:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Убедитесь, что строка агента пользователя для Chrome теперь задана в свойствах AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Примечание.
При выпуске новых браузеров и устройств рекомендуется примирить возможности этих агентов пользователей и обновить конфигурацию AD FS соответствующим образом, чтобы оптимизировать взаимодействие с проверкой подлинности пользователя при использовании указанных браузеров и устройств. В частности, рекомендуется повторно оценить параметр WIASupportedUserAgents в AD FS при добавлении нового типа устройства или браузера в матрицу поддержки ДЛЯ WIA.