Jump to content

AD FS - Windows Integrierte Authentifizierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir nutzen für eine Webanwendung SAML zur Authentifizierung, was auch ohne Probleme funktioniert, das ganze läuft über AD FS (Active Direcotry-Verbunddienste).

 

Aktuell ist es so, das der Benutzer von der Webanwendung zur ADFS Login Seite weitergeleitet wird, nach der Anmeldung wird er dann zurück zur Webanwendung geleitet und ist angemeldet.

Und nun wollte ich gerne, dass der Benutzer auf der ADFS Login Seite seine Login Daten nicht mehr initial eingeben muss, sondern automatisch über WIA angemeldet wird und damit habe ich ein Problem.

Ich bekomme es nicht hin, das auf der ADFS Login Seite WIA funktioniert, ich habe schon mehrere Anleitungen durchgeforstet, alle ohne Erfolg. Hätte da jemand ein Tipp wo das Problem liegen könnte?

 

https://support.classlink.com/hc/en-us/articles/360010601593-ADFS-Windows-Integrated-Authentication-WIA-

 

Gruß

Andreas

Link zu diesem Kommentar

@NorbertFe Kann man das mit den Entwicklertools der Browser prüfen ob die Daten weitergereich werden? Wir haben hier eine rdweb Seite für unsere Terminalserver Sammlungen da funktioniert die WIA, ich probiere das Ganze auch mit mehreren Browsern Chrome/Edge, Firefox.

 

@Gipsy Ja die hatte ich angepasst, ich habe jetzt aber die von Deinem Link übernommen, da dort einige mehr drin waren. Leider ohne Erfolg.

 

Gruß

Andreas

Link zu diesem Kommentar
vor 2 Stunden schrieb NorbertFe:

Du hast also integrated auth. in allen Browsern für die adfs Seite aktiviert? Welche Browser hast du getestet und wie sind die konfiguriert?

Sagen wir mal so, ich denke schon, ich habe verschiedene Einstellungen getätigt die man im Netz für die WIA findet, kann ich das im Browser "mitschneiden" ob dort die WIA funktioniert?

Ich habe hier die aktuelle Version vom Chrome, Edge und Firefox im Einsatz bzw. getestet.

 

Wenn ich auf dem AD FS nur die "Windows-Authentifizierung" aktiv habe, erhalte ich folgende Fehermeldung im Log:ad_fs_364.thumb.PNG.ebcb2539feb8ea538321af88844f74a8.PNG

 

Heißt das, dass der Fehler im Browser liegt und die WIA aktuell nicht unterstützt?

 

Andreas

Link zu diesem Kommentar

Mit den paar Infos kommen wir vermutlich nicht sinnvoll weiter.

1. Wie sieht deine ADFS Infrastruktur aus? Wieviele ADFS Server und welche Version? Mit WAP Proxy oder ohne?

2. Wie lautet die URL/Host intern bzw. extern (kannst du gern verfremden)

3. Welche dieser URL/Hosts hast du für die Integrierte Authentifizierung (wo) aktiviert?

 

 

Link zu diesem Kommentar

Wir haben hier im Standort zwei AD Server (2K16) auf einem der beiden ist die ADFS Rolle installiert, insgesamt haben wir nur diesen einen ADFS(4.0) Server.

Der ADFS Dienst wird nur intern verwendet (DC0.domain.local), folgende SPN's sind für adfs hinterlegt:

 - HTTP/DC0.domain.local/domain.local
 - HTTP/DC0
 - HTTP/DC0.domain.local

 

Die User-Agents sind aktuell wie folgt konfiguriert:

WIASupportedUserAgents.PNG.a1146d73d8a31f6d2af7c70acb2e951f.PNG

 

In Firefox ist unter network.automatic-ntlm-auth.trusted-uris DC0.domain.local eingetragen.

Ansonsten ist in den Internetoptionen DC0.domain.local bzw *.domain.local in "Lokales Intranet" eingetragen und "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" aktiviert.

 

Firefox 82.0.2

Google Chrome 86.0.4240.183

Microsoft Edge 86.0.662.63

 

Gruß

Andreas

Link zu diesem Kommentar

Was sagt denn der IE dazu? Der sollte ja zumindest funktionieren. Die obige Einstellung ist so grundsätzlich richtig. Bei mir sieht das ähnlich aus:

 

Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents
MSIE 6.0
MSIE 7.0
MSIE 8.0
MSIE 9.0
MSIE 10.0
Trident/7.0
MSIPC
Windows Rights Management Client
Edge/12
Chrome
Mozilla/5.0
MS_WorkFoldersClient
=~Windows\s*NT.*Edge
Mozilla/5.0 (Windows NT)
Edg/*

Was gibt dir denn ein 

Get-AdfsGlobalAuthenticationPolicy

 

vor 2 Stunden schrieb Attack44:

Wenn ich auf dem AD FS nur die "Windows-Authentifizierung" aktiv habe, erhalte ich folgende Fehermeldung im Log:

Was ja auch logisch ist, wenn WIA nicht funktioniert und FBA abgeschaltet ist. ;)

 

Bye

Norbert

 

PS: Einen ADFS auf einem DC? Ich würde behaupten keine gute Idee. Zumindest nicht in der Produktion.

vor 35 Minuten schrieb Attack44:

DC0.domain.local bzw *.domain.local in "Lokales Intranet" eingetragen

bzw. oder beides? Trag bitte mal explizit dc0.domain.local ein. 

Link zu diesem Kommentar

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus?

Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

 

bearbeitet von NorbertFe
Link zu diesem Kommentar
vor 56 Minuten schrieb NorbertFe:

OK, wie lautet der Zugriffsname? DC0 wirds ja eher nicht mehr sein. Welchen SPN hast du gesetzt? Unter welchem Konto führst die Services aus?

Teste erstmal immer mit dem IE nachdem du den Zugriffsnamen in die lokale Intranetzone aufgenommen hast. Ansonsten was steht in den Ereignisprotokollen des ADFS Servers?

 

Der Server heißt srvzentadfs.domain.local, so sehen dazu die SPN's aus:

 HTTP/SRVZENTADFS
 HTTP/SRVZENTADFS.domain.local/domain.local
 HTTP/SRVZENTADFS.domain.local

 

Die Internetoptionen habe ich entsprechend angepasst, getestet habe ich es mit dem IE, Firefox, Chrome und Edge. Die UserAgents habe ich von oben übernommen. Der Dienst wird in der Testumgebung als Domain Admin ausgeführt.466042916_ad_fs_364_2.thumb.PNG.72f027f19ee7aaa309ab30ce15b80793.PNG

 

P.S. Bei ADFS 4.0 kann man nichts über die IIS einstellen/anpassen?

bearbeitet von Attack44
Link zu diesem Kommentar
vor 11 Minuten schrieb Attack44:

Der Dienst wird in der Testumgebung als Domain Admin ausgeführt.

Warum denn? Ja es ist eine Testumgebung? Welche Aussage soll denn so eine Testumgebung haben, wenn sie NICHT der realen Welt entspricht? Abgesehen davon, wärs nett, wenn du auf das Posten von Screenshots wenn möglich verzichtest. DIe Infos von Eventlogeinträgen kann man sehr gut als Text (Code) posten. Warum setzt du soviele SPN? Ich würde an der Stelle mal ansetzen. Mein SPN für den Managed Service Account heißt auch nur host/sso.domain.tld

https://blog.wydler.eu/2015/09/01/group-managed-service-accounts/

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...