所以,为 ADFS 2.0 身份验证配置网站...
对于 IE - 它工作正常并且身份验证正确
对于 Chrome - 它到达重定向到 AD FS 服务器...要求进行身份验证但无法进行身份验证。
我尝试使用提琴手发出请求,但它没有显示任何有趣的东西 - 所以表明我们重定向到 adfs 进行身份验证,但仅此而已
可能是什么?为什么无法对 chrome 进行身份验证
谢谢
问问题
28627 次
3 回答
22
在事件查看器中,您将看到带有“状态:0xc000035b”的“审核失败”事件。您可以通过关闭 adfs/ls Web 应用程序的“扩展保护”来规避此问题。
网上有几篇关于此的文章,例如Microsoft 的 AD FS 论坛上的“Windows 集成登录期间出现 0xc000035b 错误”线程。报价:
要关闭扩展保护,请在 AD FS 服务器上启动 IIS 管理器,然后在左侧树视图中,访问站点 -> 默认网站 -> adfs -> ls。选择“/adfs/ls”文件夹后,双击“身份验证”图标,然后右键单击“Windows 身份验证”并选择“高级设置”... 在“高级设置”对话框中,为“扩展保护”选择“关闭”。
这个问题发生在我知道的几种情况下:使用 Firefox 3.5+ 或 Chrome 时,使用我手头没有详细信息的某些特定 NTLM 配置,以及使用 Fiddler 时(请参阅“AD FS 2.0:持续提示For Credentials While Using Fiddler Web Debugger” TechNet 文章,以及“Fiddler 和 Channel-Binding-Tokens”博客文章,其中包含更多技术背景信息)。
(请注意,我无法找到任何信息如何在不关闭“扩展保护”的情况下从例如 Google Chrome 和 Firefox 3.5+ 对 AD FS 进行 NTLM 身份验证。我的意思是,Internet Explorer 与“扩展保护”一起使用,为什么不'不是 Chrome 还是 Firefox?或者这是 Chrome/Firefox 实现错误/限制,例如,在他们使用 Windows NTLM 库时?)
于 2011-03-25T19:16:18.230 回答
1
来自微软:http ://technet.microsoft.com/en-us/library/hh852537.aspx
除非且直到 Firefox、Google Chrome 和 Safari 支持对身份验证的扩展保护,否则推荐的选项是安装和使用 Internet Explorer 10 或更高版本。如果您想通过 Firefox、Google Chrome 或 Safari 对 Office 365 使用单点登录,还有两种其他解决方案: (1) 从您的计算机上卸载扩展保护补丁。(2) 更改 Active Directory 联合服务 2.0 服务器上的扩展保护设置。有关详细信息,请参阅 TechNet Set-ADFSProperties 页面上的“ExtendedProtectionTokenCheck”。
于 2014-09-17T17:57:42.980 回答
1
关闭扩展保护不是答案。您添加 chrome 以便 adfs 可以识别它,然后将该站点添加到受信任列表中。
确保 adfs 支持 chrome。因此,如果您运行以下命令:
$a=Get-Adfsproperties
$a.WIASupportedUserAgents
然后将 chrome 添加到列表中。
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")
现在,我们需要告诉 Chrome 它应该允许该站点的 Windows 集成身份验证。
为此,您需要进入设置: 单击高级 单击代理设置 它应该会打开您的 IE 属性。单击安全并选择“本地 Intranet”并在此处添加您的 ADFS 的联合服务名称。单击 IE 属性下的关闭和应用。重新启动 Chrome,下次您尝试访问该网站时,它不会要求您提供凭据。
这是一个在工作中提出的解决方案,允许在不禁用扩展保护的情况下使用 Chrome 进行 SSO。为 MS 支持干杯。
于 2015-10-22T17:06:28.687 回答