Dela via

AD FS-felsökning: Microsoft Entra-ID

I och med molnets tillväxt har många företag övergått till att använda Microsoft Entra-ID för sina olika appar och tjänster. Federering med Microsoft Entra-ID är nu en standardpraxis hos många organisationer. Den här artikeln beskriver några av de aspekter av felsökningsproblem som uppstår med den här federationen. Flera av ämnena i den allmänna felsökningsartikeln gäller fortfarande federering med Azure, så den här artikeln beskriver specifika detaljer för interaktion med Microsoft Entra ID och Active Directory Federation Services (AD FS).

Omdirigering till AD FS

Omdirigering sker när du loggar in på ett program som Office 365 och du omdirigeras till din organisations AD FS-servrar för att logga in.

Skärmbild som visar omdirigeringsfönstret.

Första saker att kontrollera

Om omdirigering inte sker finns det några saker att kontrollera.

  1. Kontrollera att din Microsoft Entra-klient är aktiverad för federation. Logga in på Azure-portalen och kontrollera under Microsoft Entra Connect.

    Skärmbild som visar fönstret Användarinloggning i Microsoft Entra Connect.

  2. Kontrollera att din anpassade domän är verifierad. Välj domänen bredvid Federation i Azure-portalen.

    Skärmbild som visar domänen bredvid Federation i portalen.

  3. Kontrollera DNS (Domain Name System) och säkerställ att dina AD FS-servrar eller webbapplikationsproxiserver upplöses från internet. Kontrollera att de fungerar och att du kan gå till dem.

    Du kan också använda PowerShell-cmdleten Get-MgDomain för att hämta den här informationen.

    Skärmbild som visar PowerShell-fönstret som visar resultatet av kommandot Get-MgDomain.

Du får felet "Okänd autentiseringsmetod"

Du kan stöta på felet "Okänd autentiseringsmetod" som anger att AuthnContext det inte stöds på AD FS- eller STS-nivå (Security Token Service) när du omdirigeras från Azure.

Det här scenariot är vanligast när Microsoft Entra ID omdirigeras till AD FS eller STS med hjälp av en parameter som tillämpar en autentiseringsmetod.

Använd någon av följande metoder för att framtvinga en autentiseringsmetod:

  • För WS-Federation använder du en WAUTH-frågesträng för att framtvinga en önskad autentiseringsmetod.

  • För SAML 2.0 använder du följande kod:

    <saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>

    När den framtvingade autentiseringsmetoden skickas med ett felaktigt värde, eller om den autentiseringsmetoden inte stöds på AD FS eller STS, får du ett felmeddelande innan du autentiseras.

Önskad autentiseringsmetod WAUTH-URI
Användarnamn och lösenordsautentisering urn:oasis:names:tc:SAML:1.0:am:password
SSL-klientautentisering (Secure Sockets Layer) urn:ietf:rfc:2246
Windows-integrerad autentisering urn:federation:authentication:windows

I följande tabell visas saml-autentiseringskontextklasser som stöds:

Autentiseringsmetod URI för autentiseringskontextklass
Användarnamn och lösenord urn:oasis:names:tc:SAML:2.0:ac:classes:Password
Lösenordsskyddad transport urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
TLS-klient (Transport Layer Security) urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
X.509 certificate urn:oasis:names:tc:SAML:2.0:ac:classes:X509
Integrerad Windows-autentisering urn:federation:authentication:windows
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

Kontrollera följande för att se till att autentiseringsmetoden stöds på AD FS-nivå.

AD FS 2.0

Under /adfs/ls/web.configkontrollerar du att posten för autentiseringstypen finns.

<microsoft.identityServer.web>
<localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />
</localAuthenticationTypes>

AD FS 2012 R2

  1. Under AD FS Management väljer du Autentiseringsprinciper i AD FS-snapin-modulen.

  2. I avsnittet Primär autentisering bredvid Globala inställningar väljer du Redigera. Du kan också högerklicka på Autentiseringsprinciper och sedan välja Redigera global primär autentisering. Eller i fönstret Åtgärder väljer du Redigera global primär autentisering.

  3. I fönstret Redigera global autentiseringsprincip på fliken Primär kan du konfigurera inställningar som en del av den globala autentiseringsprincipen. För primär autentisering väljer du till exempel tillgängliga autentiseringsmetoder under Extranät och Intranät.

    Kontrollera att kryssrutan för den autentiseringsmetod som krävs är markerad.

AD FS 2016

  1. Under AD FS-hantering väljer duTjänstautentiseringsmetoder> i AD FS-snapin-modulen.

  2. I avsnittet Primär autentisering väljer du Redigera.

  3. I fönstret Redigera autentiseringsmetoder på fliken Primär kan du konfigurera inställningar som en del av autentiseringsprincipen.

    Skärmbild som visar fönstret Redigera autentiseringsmetoder.

Token utfärdade av AD FS

Det här avsnittet diskuterar token som utfärdas av AD FS.

Microsoft Entra-ID genererar ett fel efter tokenutfärding

Efter att AD FS har utfärdat en token kan det hända att Microsoft Entra ID kastar ett fel. I den här situationen söker du efter följande problem:

  • Krav som AD FS utfärdar i en token bör matcha användarens motsvarande attribut i Microsoft Entra ID.

  • Token för Microsoft Entra ID bör innehålla följande obligatoriska krav:

    • WSFED:

      • UPN: Värdet för det här anspråket ska matcha användarens huvudnamn (UPN) för användarna i Microsoft Entra-ID.
      • ImmutableID: Värdet för det här anspråket sourceAnchor ska matcha användarens attribut eller ImmutableID i Microsoft Entra-ID.

      Kör följande kommandorad för att hämta User attributvärdet i Microsoft Entra-ID: Get-AzureADUser –UserPrincipalName <UPN>

      Skärmbild som visar PowerShell-fönstret som visar resultatet av kommandot Get-AzureADUser.

    • SAML 2.0:

      • IDPEmail: Värdet för det här anspråket ska matcha UPN för användarna i Microsoft Entra-ID.
      • NAMEID: Värdet för det här anspråket sourceAnchor ska matcha användarens attribut eller ImmutableID i Microsoft Entra-ID.

Mer information finns i Använda en SAML 2.0-identitetsprovider för att implementera enkel inloggning.

Felmatchning av tokensigneringscertifikat mellan AD FS och Microsoft Entra-ID

AD FS använder certifikatet för tokensignering för att signera token som skickas till användaren eller programmet. Förtroendet mellan AD FS och Microsoft Entra ID är ett federerat förtroende som baseras på det här tokensigneringscertifikatet.

Om certifikatet för tokensignering på AD FS-sidan ändras på grund av automatisk överrullning av certifikat eller genom åtgärder, måste informationen om det nya certifikatet uppdateras på Microsoft Entra-ID-sidan för den federerade domänen. När det primära tokensigneringscertifikatet på AD FS skiljer sig från Microsoft Entra-ID litar Inte Microsoft Entra-ID på den token som AD FS utfärdade. Av den anledningen får den federerade användaren inte logga in.

Åtgärda problemet genom att följa stegen i Förnya federationscertifikat för Office 365 och Microsoft Entra ID.

Andra vanliga saker att kontrollera

Om du har problem med AD FS- och Microsoft Entra-interaktion kontrollerar du följande:

  • Föråldrade eller cachelagrade autentiseringsuppgifter i Windows Credential Manager.
  • Säker hashalgoritm (SHA) som är konfigurerad för förlitande partförtroende för Office 365 är inställd på SHA1.

Relaterat innehåll