поэтому веб-сайт настроен для проверки подлинности ADFS 2.0...
для IE - он отлично работает и правильно выполняет проверку подлинности
для Chrome - он перенаправляется на сервер AD FS... запрашивает аутентификацию, но не может аутентифицироваться.
Я пытаюсь использовать скрипт, но ничего интересного не показывать - так что покажите, что мы перенаправляем adfs для аутентификации, но не более
что это может быть? почему невозможно проверить подлинность хром
спасибо
В средстве просмотра событий вы увидите событие "Сбой аудита" с "Статус: 0xc000035b". Вы можете обойти эту проблему, отключив "Расширенная защита" для веб-приложения adfs/ls.
В Интернете есть несколько статей, например, "0xc000035b ошибка при подключении к Windows" на форуме Microsoft AD FS. Цитирование:
Чтобы отключить расширенную защиту, нажмите сервер AD FS, запуск диспетчера IIS, затем, в левом боковом представлении, сайты доступа → Веб-сайт по умолчанию → adfs → ls. Как только вы выберете "/adfs/ls", дважды щелкните Значок аутентификации, затем щелкните правой кнопкой мыши Аутентификация Windows и выбор Дополнительные настройки... В расширенном режиме Диалог настроек, выберите "Выкл." Для Расширенная защита.
Эта проблема возникает в нескольких ситуациях, о которых я знаю: при использовании Firefox 3.5+ или Chrome, используя определенную конфигурацию NTLM, для которой у меня нет данных, и при использовании Fiddler (см. "AD FS 2.0: постоянно запрашивается учетные данные при использовании веб-отладчика Fiddler" в статье TechNet и "Фиддлер и привязка к каналам-токенам" в блоге, в котором содержится больше технической информации).
(Обратите внимание, что нигде я не мог найти информацию о том, как сделать проверку подлинности NTLM в AD FS, например, Google Chrome и Firefox 3.5+, без отключения "Расширенная защита". Я имею в виду, что Internet Explorer работает с расширенной защитой, почему не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки Windows NTLM?)
От Microsoft: http://technet.microsoft.com/en-us/library/hh852537.aspx
Пока и до тех пор, пока Firefox, Google Chrome и Safari не будут поддерживаться Extended Защита для проверки подлинности, рекомендуется установить и используйте Internet Explorer 10 или более поздней версии. Если вы хотите использовать одиночный вход для Office 365 с Firefox, Google Chrome или Safari, там являются двумя другими решениями: (1) Удалите исправления расширенной защиты с вашего компьютера. (2) Измените параметр Расширенная защита на Сервер службы федерации Active Directory 2.0. Видеть "ExtendedProtectionTokenCheck" на странице TechNet Set-ADFSProperties для деталей.
Отключение расширенной защиты - это не ответ. Вы добавляете хром, чтобы adfs могли его распознать, а затем добавить сайт в надежный список.
Убедитесь, что хром поддерживается adfs. Итак, если вы выполните следующие команды:
$a=Get-Adfsproperties
$a.WIASupportedUserAgents
Затем вы добавляете хром в список.
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")
Теперь нам нужно сообщить Chrome, что он должен разрешить Windows Integrated Auth для сайта.
Для этого вам нужно будет перейти к настройкам: Нажмите "Дополнительно" Нажмите "Настройки прокси" Он должен открыть IE Свойства. Нажмите "Безопасность" и выберите "Локальная интрасеть" и добавьте здесь имя службы федерации вашей ADFS. Нажмите "Закрыть" и "Применить" в разделе "Свойства IE". Перезагрузите Chrome и в следующий раз, когда вы попытаетесь получить доступ к сайту, он не будет запрашивать у вас учетные данные.
Это было решение, представленное на работе, чтобы разрешить SSO с Chrome без отключения расширенной защиты. Приветствия для поддержки MS.