Устранение неполадок при входе, инициированного поставщиком удостоверений службы федерации Active Directory (AD FS)

  • Статья

Страница входа службы федерации Active Directory (AD FS) (AD FS) может использоваться для проверка, если проверка подлинности работает. Этот тест выполняется путем перехода на страницу и входа. Кроме того, можно использовать страницу входа, чтобы убедиться, что перечислены все проверяющие стороны SAML 2.0.

Включение входа, инициированного поставщиком удостоверений, на странице

По умолчанию AD FS в Windows 2016 не включает вход на странице. Чтобы включить страницу, можно использовать команду Set-AdfsPropertiesPowerShell. Чтобы включить страницу, используйте следующую процедуру:

  1. Откройте Windows PowerShell.

  2. Введите Get-AdfsProperties и нажмите клавишу ВВОД.

  3. Убедитесь, что для свойства EnableIdpInitiatedSignonPage задано значение false.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. В PowerShell введите Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.

  5. PowerShell не предоставляет подтверждение для Set-AdfsProperties команды. Чтобы подтвердить значение свойства EnableIdpInitatedSignonPage, введите Get-AdfsProperties команду еще раз и проверка значение свойства.

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Тест проверки подлинности

Используйте следующую процедуру, чтобы проверить проверку подлинности AD FS с помощью страницы входа, инициированного поставщиком удостоверений.

  1. Откройте веб-браузер и перейдите на страницу входа поставщика удостоверений. URL-адрес может выглядеть следующим https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspxобразом.

  2. Вам необходимо ввести запрос на вход. Введите свои учетные данные.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Если процесс выполнен успешно, вы войдете в систему.

Проверка подлинности с помощью простого входа

Вы можете проверить простой вход, убедившись, что URL-адрес серверов AD FS добавляется в зону локальной интрасети параметров интернета. Это можно сделать следующим образом:

  1. В клиенте Windows 10 выберите "Пуск " и введите параметры браузера и выберите "Параметры браузера".

  2. Перейдите на вкладку "Безопасность", выберите "Локальная интрасетя" и выберите "Сайты".

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Выберите Дополнительно.

  4. Введите URL-адрес и нажмите кнопку "Добавить". Выберите Закрыть.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Щелкните ОК. Затем нажмите кнопку "ОК" , чтобы закрыть параметры интернета.

  6. Откройте веб-браузер и перейдите на страницу входа поставщика удостоверений. URL-адрес может выглядеть следующим https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspxобразом.

  7. Нажмите кнопку входа . Вы должны автоматически войти и не запрашивать учетные данные.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Известные проблемы

Страница входа AD FS не может использоваться для запуска входа с доверием поставщика утверждений, настроенного только с пассивной конечной точкой WS-Federation. Зарегистрируйте проверяющую сторону, например ClaimsXRay , чтобы убедиться, что доверие поставщика утверждений WS-Federation работает должным образом.

Next Steps