Jump to content

AD FS - Windows Integrierte Authentifizierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

wir nutzen für eine Webanwendung SAML zur Authentifizierung, was auch ohne Probleme funktioniert, das ganze läuft über AD FS (Active Direcotry-Verbunddienste).

 

Aktuell ist es so, das der Benutzer von der Webanwendung zur ADFS Login Seite weitergeleitet wird, nach der Anmeldung wird er dann zurück zur Webanwendung geleitet und ist angemeldet.

Und nun wollte ich gerne, dass der Benutzer auf der ADFS Login Seite seine Login Daten nicht mehr initial eingeben muss, sondern automatisch über WIA angemeldet wird und damit habe ich ein Problem.

Ich bekomme es nicht hin, das auf der ADFS Login Seite WIA funktioniert, ich habe schon mehrere Anleitungen durchgeforstet, alle ohne Erfolg. Hätte da jemand ein Tipp wo das Problem liegen könnte?

 

https://support.classlink.com/hc/en-us/articles/360010601593-ADFS-Windows-Integrated-Authentication-WIA-

 

Gruß

Andreas

Link to post

@NorbertFe Kann man das mit den Entwicklertools der Browser prüfen ob die Daten weitergereich werden? Wir haben hier eine rdweb Seite für unsere Terminalserver Sammlungen da funktioniert die WIA, ich probiere das Ganze auch mit mehreren Browsern Chrome/Edge, Firefox.

 

@Gipsy Ja die hatte ich angepasst, ich habe jetzt aber die von Deinem Link übernommen, da dort einige mehr drin waren. Leider ohne Erfolg.

 

Gruß

Andreas

Link to post
vor 2 Stunden schrieb NorbertFe:

Du hast also integrated auth. in allen Browsern für die adfs Seite aktiviert? Welche Browser hast du getestet und wie sind die konfiguriert?

Sagen wir mal so, ich denke schon, ich habe verschiedene Einstellungen getätigt die man im Netz für die WIA findet, kann ich das im Browser "mitschneiden" ob dort die WIA funktioniert?

Ich habe hier die aktuelle Version vom Chrome, Edge und Firefox im Einsatz bzw. getestet.

 

Wenn ich auf dem AD FS nur die "Windows-Authentifizierung" aktiv habe, erhalte ich folgende Fehermeldung im Log:ad_fs_364.thumb.PNG.ebcb2539feb8ea538321af88844f74a8.PNG

 

Heißt das, dass der Fehler im Browser liegt und die WIA aktuell nicht unterstützt?

 

Andreas

Link to post

Mit den paar Infos kommen wir vermutlich nicht sinnvoll weiter.

1. Wie sieht deine ADFS Infrastruktur aus? Wieviele ADFS Server und welche Version? Mit WAP Proxy oder ohne?

2. Wie lautet die URL/Host intern bzw. extern (kannst du gern verfremden)

3. Welche dieser URL/Hosts hast du für die Integrierte Authentifizierung (wo) aktiviert?

 

 

Link to post

Wir haben hier im Standort zwei AD Server (2K16) auf einem der beiden ist die ADFS Rolle installiert, insgesamt haben wir nur diesen einen ADFS(4.0) Server.

Der ADFS Dienst wird nur intern verwendet (DC0.domain.local), folgende SPN's sind für adfs hinterlegt:

 - HTTP/DC0.domain.local/domain.local
 - HTTP/DC0
 - HTTP/DC0.domain.local

 

Die User-Agents sind aktuell wie folgt konfiguriert:

WIASupportedUserAgents.PNG.a1146d73d8a31f6d2af7c70acb2e951f.PNG

 

In Firefox ist unter network.automatic-ntlm-auth.trusted-uris DC0.domain.local eingetragen.

Ansonsten ist in den Internetoptionen DC0.domain.local bzw *.domain.local in "Lokales Intranet" eingetragen und "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" aktiviert.

 

Firefox 82.0.2

Google Chrome 86.0.4240.183

Microsoft Edge 86.0.662.63

 

Gruß

Andreas

Link to post

Was sagt denn der IE dazu? Der sollte ja zumindest funktionieren. Die obige Einstellung ist so grundsätzlich richtig. Bei mir sieht das ähnlich aus:

 

Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents
MSIE 6.0
MSIE 7.0
MSIE 8.0
MSIE 9.0
MSIE 10.0
Trident/7.0
MSIPC
Windows Rights Management Client
Edge/12
Chrome
Mozilla/5.0
MS_WorkFoldersClient
=~Windows\s*NT.*Edge
Mozilla/5.0 (Windows NT)
Edg/*

Was gibt dir denn ein 

Get-AdfsGlobalAuthenticationPolicy

 

vor 2 Stunden schrieb Attack44:

Wenn ich auf dem AD FS nur die "Windows-Authentifizierung" aktiv habe, erhalte ich folgende Fehermeldung im Log:

Was ja auch logisch ist, wenn WIA nicht funktioniert und FBA abgeschaltet ist. ;)

 

Bye

Norbert

 

PS: Einen ADFS auf einem DC? Ich würde behaupten keine gute Idee. Zumindest nicht in der Produktion.

vor 35 Minuten schrieb Attack44:

DC0.domain.local bzw *.domain.local in "Lokales Intranet" eingetragen

bzw. oder beides? Trag bitte mal explizit dc0.domain.local ein. 

Link to post

Beim IE ist es genau das gleiche Problem bzw. endet in den selben Fehlermeldung.

Get-AdfsGlobalAuthenticationPolicy.thumb.PNG.71de79512dd9765883fca82c234de613.PNG

 

Der DC0 FQDN ist explizit im lokalen Intranet eingetragen. Ja richtig, ist aber eine Testumgebung.  Hm vielleicht liegt es daran und ich sollte einen eigenen ADFS Server aufsetzen und es so probieren?:hmmm:

Link to post

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus?

Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

 

Edited by NorbertFe
Link to post
vor 56 Minuten schrieb NorbertFe:

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus?

Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

 

Der Server heißt srvzentadfs.domain.local, so sehen dazu die SPN's aus:

 HTTP/SRVZENTADFS
 HTTP/SRVZENTADFS.domain.local/domain.local
 HTTP/SRVZENTADFS.domain.local

 

Die Internetoptionen habe ich entsprechend angepasst, getestet habe ich es mit dem IE, Firefox, Chrome und Edge. Die UserAgents habe ich von oben übernommen. Der Dienst wird in der Testumgebung als Domain Admin ausgeführt.466042916_ad_fs_364_2.thumb.PNG.72f027f19ee7aaa309ab30ce15b80793.PNG

 

P.S. Bei ADFS 4.0 kann man nichts über die IIS einstellen/anpassen?

Edited by Attack44
Link to post
vor 11 Minuten schrieb Attack44:

Der Dienst wird in der Testumgebung als Domain Admin ausgeführt.

Warum denn? Ja es ist eine Testumgebung? Welche Aussage soll denn so eine Testumgebung haben, wenn sie NICHT der realen Welt entspricht? Abgesehen davon, wärs nett, wenn du auf das Posten von Screenshots wenn möglich verzichtest. DIe Infos von Eventlogeinträgen kann man sehr gut als Text (Code) posten. Warum setzt du soviele SPN? Ich würde an der Stelle mal ansetzen. Mein SPN für den Managed Service Account heißt auch nur host/sso.domain.tld

https://blog.wydler.eu/2015/09/01/group-managed-service-accounts/

 

Bye

Norbert

Edited by NorbertFe
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...