Office 365, Azure veya Intune oturum açma sırasında federe bir kullanıcıdan sürekli olarak kimlik bilgileri istenir

Not

Office 365 ProPlus kurumsal olarak Microsoft 365 uygulamalarıolarak yeniden adlandırıldı. Bu değişiklik hakkında daha fazla bilgi için Bu blog gönderisini okuyun.

Önemli

Bu makalede, güvenlik ayarlarını düşürmeye nasıl yardımcı olabilirsiniz veya bilgisayardaki güvenlik özelliklerini nasıl kapatabileceğinizi gösteren bilgiler içerir. Belirli bir sorunu aşmak için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümle ilgili riskleri belirli ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu geçici çözüm uygularsanız, bilgisayarın korunmasına yardımcı olmak için uygun ek adımları uygulayın.

Sorun

Kullanıcı, Office 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açma sırasında Active Directory Federation Services (AD FS) hizmet bitiş noktasına kimlik doğrulamayı çalıştığında, federe bir kullanıcıdan sürekli olarak kimlik bilgileri istenir. Kullanıcı iptal ettiğinde, kullanıcı Access Reddedilen hata iletisini alır.

Neden

Belirti, AD FS ile Windows Tümleşik kimlik doğrulamasıyla ilgili bir sorunu gösterir. Aşağıdaki koşullardan biri veya birkaçı doğruysa, bu sorun oluşabilir:

  • Yanlış bir kullanıcı adı veya parola kullanıldı.

  • Internet Information Services (IIS) kimlik doğrulama ayarları AD FS'de yanlış ayarlanır.

  • AD FS federasyon sunucu çiftliğini çalıştırmak için kullanılan hizmet hesabıyla ilişkili hizmet ana adı (SPN) kaybolur veya bozulur.

    Not

    Bu, yalnızca AD FS'nin federasyon sunucu çiftliği olarak uygulandığı ve tek başına bir yapılandırmada uygulanmaması durumunda gerçekleşir.

  • Aşağıdakilerden biri veya birkaçı, Genişletilmiş Kimlik Doğrulama Koruması tarafından ortadaki bir saldırının kaynağı olarak tanımlanır:

    • Bazı üçüncü taraf Internet tarayıcıları
    • Şirket ağ güvenlik duvarı, ağ yük dengeleyicisi veya diğer ağ aygıtı, IP yük verilerinin yeniden yazılabileceği şekilde AD FS Federation Service'i Internet'e yayınlıyor. Bu büyük olasılıkla aşağıdaki veri türlerini içerir:
      • Güvenli Soket Katmanı (SSL) köprüleme

      • SSL boşaltma

      • Durum lu paket filtreleme

        Daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

        2510193 2510193   Office 365, Azure veya Intune'da tek oturum açma ayarlamak için AD FS'yi kullanmak için desteklenen senaryolar 

    • Bir izleme veya SSL şifre çözme uygulaması yüklenir veya istemci bilgisayarda etkin
  • AD FS hizmet bitiş noktasının Etki Alanı Adı Sistemi (DNS) çözünürlüğü, A kayıt araması yerine CNAME kayıt araması yoluyla gerçekleştirildi.

  • Windows Internet Explorer, Windows Tümleşik kimlik doğrulamasını AD FS sunucusuna geçirmek üzere yapılandırılmamıştır.

Sorun gidermeye başlamadan önce

Sorunun nedeninin kullanıcı adı ve parola olup olmadığını denetleyin.

  • Doğru kullanıcı adının kullanıldığından ve kullanıcı anaadı (UPN) biçiminde olduğundan emin olun. Örneğin, johnsmith@contoso.com .

  • Doğru parolanın kullanıldığından emin olun. Doğru parolanın kullanılıp kullanılıp kullanılmamasını iki kez kontrol etmek için kullanıcı parolasını sıfırlamanız gerekebilir. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:

    Kullanıcı Parolası'nı Sıfırlama

  • Hesabın kilitli olmadığından, süresi dolmadığından veya belirlenen oturum açma saatleri dışında kullanılmadığından emin olun. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın: Kullanıcıları Yönetme

Nedenini doğrulayın

Kerberos sorunlarının soruna neden olup olmadığını kontrol etmek için, AD FS federasyon sunucu çiftliğinde form tabanlı kimlik doğrulamasını etkinleştirerek Geçici kimlik doğrulamasını geçici olarak atla. Bunu yapmak için aşağıdaki adımları izleyin:

Adım 1: AD FS federasyon sunucu çiftliğindeki her sunucuda web.config dosyasını düzenleme

  1. Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve ardından web.config dosyasının yedek kopyasını yapın.
  2. Başlat'ıtıklatın, Tüm Programlar'ıtıklatın, Aksesuarlar'ıtıklatın, Not Defteri'nisağ tıklatın ve ardından Yönetici Olarak Çalıştır'ıtıklatın.
  3. Dosya menüsünde Aç'ıtıklatın. Dosya Adı kutusuna C:\inetpub\adfs\ls\web.config yazın ve sonra Aç'ıtıklatın.
  4. web.config dosyasında aşağıdaki adımları izleyin:
    1. kimlik doğrulama modu=< içeren satırı bulun ve ardından kimlik doğrulama < modu="Formlar"/> olarak değiştirin.
    2. Yerel AuthenticationTypes> ile başlayan bölümü bulun < localAuthenticationTypes ve ardından <add name="Formlar"> girişinin önce aşağıdaki gibi listeleneceği şekilde bölümü değiştirin:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />   
      
  5. Dosya menüsünde Kaydet'itıklatın.
  6. Yükseltilmiş bir komut isteminde, iisresetkomutunu kullanarak IIS'yi yeniden başlatın.

Adım 2: AD FS işlevselliğini test edin

  1. Şirket içi AD DS ortamına bağlı ve kimlik doğrulaması yapılan istemci bilgisayarda bulut hizmeti portalında oturum açın.

    Sorunsuz bir kimlik doğrulama deneyimi yerine, form tabanlı bir oturum açma deneyimi yaşanmalıdır. Form tabanlı kimlik doğrulama kullanılarak oturum açma başarılı olursa, bu, AD FS Federation Service'de Kerberos ile ilgili bir sorunun olduğunu doğrular.

  2. "Çözünürlük" bölümündeki adımları izlemeden önce AD FS federation sunucu çiftliğindeki her sunucunun yapılandırmasını önceki kimlik doğrulama ayarlarına geri getirin. AD FS federation sunucu çiftliğindeki her sunucunun yapılandırmasını geri almak için aşağıdaki adımları izleyin:

    1. Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve ardından web.config dosyasını silin.
    2. "Ad FS federation server farm'daki her sunucudaki web.config dosyasını düzenleme: "Adım 1: Web.config dosyasını düzenleme" bölümünde oluşturduğunuz web.config dosyasının yedeğini C:\inetpub\adfs\ls\ klasörüne taşıyın.
  3. Yükseltilmiş bir komut isteminde, iisresetkomutunu kullanarak IIS'yi yeniden başlatın.

  4. AD FS kimlik doğrulama davranışının özgün soruna geri döntün.

Çözüm

AD FS kimlik doğrulamasını sınırlayan Kerberos sorununu çözmek için duruma uygun olarak aşağıdaki yöntemlerden birini veya birkaçını kullanın.

Çözünürlük 1: AD FS kimlik doğrulama ayarlarını varsayılan değerlere sıfırlama

AD FS IIS kimlik doğrulama ayarları yanlışsa veya AD FS Federation Services ve Proxy Hizmetleri için IIS kimlik doğrulama ayarları eşleşmiyorsa, bir çözüm tüm IIS kimlik doğrulama ayarlarını varsayılan AD FS ayarlarına sıfırlamaktır.

Varsayılan kimlik doğrulama ayarları aşağıdaki tabloda listelenir.

|Sanal uygulama |Kimlik doğrulama düzeyi(ler)| |--------------------|-----------------------| |Varsayılan Web Sitesi/adfs|Anonim kimlik doğrulama| |Varsayılan Web Sitesi/adfs/ls|Anonim kimlik doğrulama, Windows kimlik doğrulaması| Her AD FS federasyon sunucusunda ve her AD FS federasyon sunucu proxy'sinde, AD FS IIS sanal uygulamalarını varsayılan kimlik doğrulama ayarlarına sıfırlamak için aşağıdaki Microsoft TechNet makalesindeki bilgileri kullanın:

IIS 7'de Kimlik Doğrulamayı Yapılandırma

Bu hatanın nasıl çözüleceği hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalelerine bakın:

  • 907273 IIS'de sorun giderme HTTP 401 hataları

  • 871179 IIS 6.0 uygulama havuzunun parçası olan bir Web sitesine erişmeye çalıştığınızda "HTTP Hatası 401.1 - Yetkisiz: Geçersiz kimlik bilgileri nedeniyle erişim reddedildi" hata iletisi alırsınız

Çözünürlük 2: AD FS federasyon sunucu çiftliği SPN düzeltin

Not

Bu çözünürlüğü yalnızca AD FS bir federasyon sunucu çiftliği olarak uygulandığında deneyin. Bu çözünürlüğü tek başına bir AD FS yapılandırmasında denemeyin.

AD FS hizmetinin SPN'si AD FS hizmet hesabında kaybolursa veya bozuksa sorunu gidermek için, AD FS federasyon sunucu çiftliğindeki bir sunucuda aşağıdaki adımları izleyin:

  1. Hizmetler yönetimini aç. Bunu yapmak için Başlat'ıtıklatın, Tüm Programlar'ıtıklatın, Yönetim Araçları'nıtıklatın ve ardından Hizmetler'itıklatın.

  2. AD FS (2.0) Windows Hizmeti'niçift tıklatın.

  3. Oturum Açma sekmesinde, Bu Hesap'ta görüntülenen hizmet hesabını not edin.

  4. Başlat'ıtıklatın, Tüm Programlar'ıtıklatın, Aksesuarlar'ıtıklatın, Komut İstem'esağ tıklayın ve ardından Yönetici Olarak Çalıştır'ıtıklatın.

  5. Aşağıdaki komutu yazın ve enter tuşuna basın.

    SetSPN –f –q host/<AD FS service name>
    

    Not

    Bu komutta, < AD FS hizmet adı> AD FS hizmet bitiş noktasının tam nitelikli alan adı (FQDN) hizmet adını temsil eder. AD FS sunucusunun Windows ana bilgisayar adını temsil etmez.

    • Komut için birden fazla giriş döndürülürse ve sonuç adım 3'te belirtilen kullanıcı hesabı dışında bir kullanıcı hesabıyla ilişkilendirilirse, bu ilişkilendirme kaldırın. Bunu yapmak için aşağıdaki komutu çalıştırın:

      SetSPN –d host/<AD FS service name><bad_username> 
      
    • Komut için birden fazla giriş döndürülürse ve SPN Windows'daki AD FS sunucusunun bilgisayar adı ile aynı adı kullanırsa, AD FS için federasyon bitiş noktası adı yanlıştır. AD FS tekrar uygulanmalıdır. AD FS federasyon sunucu çiftliğinin FQDN'si, varolan bir sunucunun Windows ana bilgisayar adı ile aynı olmamalıdır.

    • SPN zaten yoksa, aşağıdaki komutu çalıştırın:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Not

      Bu komutta, < hizmet hesabının kullanıcı adı> adım 3'te belirtilen kullanıcı adını temsil eder.

  6. Bu adımlar AD FS federasyon sunucu çiftliğindeki tüm sunucularda gerçekleştirildikten sonra, Hizmetler yönetiminde ki AD FS (2.0) Windows Service'e sağ tıklayın ve ardından Yeniden Başlat'ıtıklatın.

Çözüm 3: Kimlik Doğrulama endişeleri için Genişletilmiş Korumayı Çözümle

Kimlik Doğrulama için Genişletilmiş Koruma başarılı kimlik doğrulamasını engelliyorsa sorunu gidermek için aşağıdaki önerilen yöntemlerden birini kullanın:

  • Yöntem 1: Oturum açabilmek için Windows Internet Explorer 8'i (veya programın sonraki bir sürümünü) kullanın.
  • Yöntem 2: AD FS hizmetlerini Internet'te SSL köprüleme, SSL boşaltma veya durum sallayan paket filtrelemenin IP yük verilerini yeniden yazaması şekilde yayımlayın. Bu amaçla en iyi uygulama önerisi bir AD FS Proxy Sunucusu kullanmaktır.
  • Yöntem 3: İzleme yi veya SSL şifresini çözme uygulamalarını kapatın veya devre dışı kılabilir.

Bu yöntemlerden herhangi birini kullanamıyorsanız, bu sorunu çözmek için, Kimlik Doğrulama için Genişletilmiş Koruma pasif ve etkin istemciler için devre dışı olabilir.

Geçici Çözüm: Kimlik Doğrulama için Genişletilmiş Korumayı Devre Dışı Bırakma

Uyarı

Bu yordamı uzun vadeli bir çözüm olarak kullanmanızı önermiyoruz. Kimlik Doğrulama için Genişletilmiş Korumanın devre dışı bırakılması, Tümleşik Windows Kimlik Doğrulama uç noktalarında belirli kimlik-in-the-middle saldırıları algılamayarak AD FS hizmet güvenlik profilini zayıflatır.

Not

Bu geçici çözüm üçüncü taraf uygulama işlevselliği için uygulandığında, Kimlik Doğrulama için Genişletilmiş Koruma için istemci işletim sistemindeki düzeltmeleri de kaldırmanız gerekir.

Pasif istemciler için

Pasif istemciler için Genişletilmiş Kimlik Doğrulama Korumasını devre dışı kÖmek için, AD FS federasyon sunucu çiftliğindeki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı gerçekleştirin:

  • Varsayılan Web Sitesi/adfs
  • Varsayılan Web Sitesi/adfs/ls

Bunu yapmak için aşağıdaki adımları izleyin:

  1. IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Manager'ı açma hakkında daha fazla bilgi için Open IIS Manager (IIS 7)'ye bakın.
  2. Özellikler Görünümü'nde Kimlik Doğrulama'yıçift tıklatın.
  3. Kimlik Doğrulama sayfasında Windows Kimlik Doğrulama'yıseçin.
  4. Eylemler bölmesinde Gelişmiş Ayarlar'ıtıklatın.
  5. Gelişmiş Ayarlar iletişim kutusu göründüğünde, Genişletilmiş Koruma açılır menüsünden Kapat'ı   seçin. Extended Protection 

Etkin istemciler için

Etkin istemciler için Genişletilmiş Kimlik Doğrulama Korumasını devre dışı kÖmek için birincil AD FS sunucusunda aşağıdaki yordamı gerçekleştirin:

  1. Windows PowerShell'i açın.
  2. AD FS snap-in için Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:
    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Kimlik Doğrulama için Genişletilmiş Koruma'yı devre dışı kakmak için aşağıdaki komutu çalıştırın:
    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"    
    

Kimlik Doğrulama için Genişletilmiş Korumayı Yeniden Etkinleştirin

Pasif istemciler için

Pasif istemciler için Genişletilmiş Kimlik Doğrulama Korumasını yeniden etkinleştirmek için, AD FS federasyon sunucu çiftliğindeki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı gerçekleştirin:

  • Varsayılan Web Sitesi/adfs
  • Varsayılan Web Sitesi/adfs/ls

Bunu yapmak için aşağıdaki adımları izleyin:

  1. IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Manager'ı açma hakkında daha fazla bilgi için Open IIS Manager (IIS 7)'ye bakın.
  2. Özellikler Görünümü'nde Kimlik Doğrulama'yıçift tıklatın.
  3. Kimlik Doğrulama sayfasında Windows Kimlik Doğrulama'yıseçin.
  4. Eylemler bölmesinde Gelişmiş Ayarlar'ıtıklatın.
  5. Gelişmiş Ayarlar iletişim kutusu göründüğünde, Genişletilmiş Koruma açılır menüsünden Kabul Et'i seçin. 

Etkin istemciler için

Etkin istemciler için Genişletilmiş Kimlik Doğrulama Korumasını yeniden etkinleştirmek için birincil AD FS sunucusunda aşağıdaki yordamı gerçekleştirin:

  1. Windows PowerShell'i açın.
  2. AD FS snap-in için Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:
    Add-PsSnapIn Microsoft.Adfs.Powershell    
    
  3. Kimlik Doğrulama için Genişletilmiş Koruma'yı etkinleştirmek için aşağıdaki komutu çalıştırın:
    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"   
    

Çözüm 4: CNAME kayıtlarını AD FS kayıtlarıyla değiştirme

Federasyon hizmeti için kullanılan her DNS Diğer Ad (CNAME) kaydını DNS adresi (A) kaydıyla değiştirmek için DNS yönetim araçlarını kullanın. Ayrıca, bölünmüş beyinli DNS yapılandırması uygulandığında kurumsal DNS ayarlarını kontrol edin veya düşünün. DNS kayıtlarının nasıl yönetilenhakkında daha fazla bilgi için Bkz.

Çözüm 5: Internet Explorer'ı tek oturum açma (SSO) için AD FS istemcisi olarak ayarlama

AD FS erişimi için Internet Explorer'ı nasıl ayarlayacakları hakkında daha fazla bilgi için, federe bir kullanıcıya iş veya okul hesabı kimlik bilgilerini girmek için beklenmedik bir şekilde istenir.

Daha fazla bilgi

AD FS, bir ağın korunmasına yardımcı olmak için Kimlik Doğrulama için Genişletilmiş Koruma kullanır. Genişletilmiş Kimlik Doğrulama Koruması, saldırganın bir istemcinin kimlik bilgilerini ele geçirip bir sunucuya ilettiği ortadaki adam saldırılarını önlemeye yardımcı olabilir. Bu tür saldırılara karşı koruma Kanal Bağlama İşleri (TCMB) kullanılarak mümkün kılınabilir. İstemcilerle iletişim kurulduğunda TCMB sunucu tarafından gerekli olabilir, izin verilebilir veya gerekli olmayabilir.

ExtendedProtectionTokenCheck AD FS ayarı, federasyon sunucusu tarafından desteklenen kimlik doğrulama için genişletilmiş koruma düzeyini belirtir. Bu ayar için kullanılabilir değerler şunlardır:

  • Require: Sunucu tamamen sertleştirilmiştir. Genişletilmiş koruma uygulanır.
  • İzin Ver: Bu varsayılan ayardır. Sunucu kısmen sertleştirilmiştir. Bu özelliği destekleyecek şekilde değiştirilen ilgili sistemler için genişletilmiş koruma uygulanır.
  • Yok: Sunucu savunmasızdır. Genişletilmiş koruma uygulanmaz.

Aşağıdaki tablolar, IIS ile AD FS'de kullanılabilen farklı Genişletilmiş Koruma seçeneklerine bağlı olarak, kimlik doğrulamanın üç işletim sistemi ve tarayıcı için nasıl çalıştığını açıklar.

Not

Windows istemci işletim sistemlerinde Genişletilmiş Koruma özelliklerini etkili bir şekilde kullanmak üzere yüklü belirli güncelleştirmeler olmalıdır. Varsayılan olarak, özellikler AD FS'de etkinleştirilir.

Varsayılan olarak, Windows 7 Genişletilmiş Koruma kullanmak için uygun ikili içerir.

Windows 7 (veya Windows Vista veya Windows XP'nin uygun şekilde güncelleştirilmiş sürümleri)

|Ayar|Gerektirir|İzin ver (varsayılan)|Yok| |-------|--------|------------------|----| |Windows Communication Foundation (WCF) İstemci (Tüm uç noktalar)|Çalışır|Çalışır|Çalışır| |Internet Explorer 8 ve sonraki sürümler|Çalışır|Çalışır|Çalışır| |Firefox 3.6|Başarısız|Başarısız|Çalışır| |Safari 4.0.4|Başarısız|Başarısız|Çalışır| Uygun güncelleştirmeler olmadan Windows Vista

|Ayar|Gerektirir|İzin ver (varsayılan)|Yok| |-------|-------|-------------------|----| |WCF İstemci (Tüm uç noktalar)|Başarısız|Çalışır|Çalışır| |Internet Explorer 8 ve sonraki sürümler|Çalışır|Çalışır|Çalışır| |Firefox 3.6|Başarısız|Çalışır|Çalışır| |Safari 4.0.4|Başarısız|Çalışır|Çalışır| Uygun güncelleştirmeler olmadan Windows XP

|Ayar|Gerektirir|İzin ver (varsayılan)|Yok| |-------|-------|-------------------|----| |Internet Explorer 8 ve sonraki sürümler|Çalışır|Çalışır|Çalışır| |Firefox 3.6|Başarısız|Çalışır|Çalışır| |Safari 4.0.4|Başarısız|Çalışır|Çalışır| Kimlik Doğrulama için Genişletilmiş Koruma hakkında daha fazla bilgi için aşağıdaki Microsoft kaynağına bakın:

AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma

Set-ADFSProperties cmdlet hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:

Set-ADFSProperties

Yine de yardım mı gerekiyor? Microsoft Community veya Azure Active Directory forumlarına gidin.

Bu makalede tartışılan üçüncü taraf ürünler, Microsoft'tan bağımsız şirketler tarafından üretilir. Microsoft, örtük veya başka türlü, bu ürünlerin performansı veya güvenilirliği hakkında hiçbir garanti vermez