Sdílet prostřednictvím

Le 3 temute richieste di accesso durante l'autenticazione

  • Článek

Le 3 temute richieste di accesso durante l'autenticazione

Lo scorso fine settimana si è verificato questo comunissimo problema nel mio server ADFS, che stavo tentando di ricostruire. Come è noto, le cause più comuni di questo problema sono correlate ad alcune impostazioni Kerberos non configurate correttamente o all'utilizzo di un nome diverso dal nome del server per un'applicazione Web (il classico scenario di disabilitazione del loopback). In questo caso tuttavia la causa del problema era diversa ed era specifica di un server ADFS. Ho pensato pertanto di acquisirla per riferimenti futuri.

La registrazione dei problemi di ADFS 2.0 nel registro eventi è molto accurata. Quando si apre il Visualizzatore eventi, è visibile un nodo separato per ADFS 2.0 ed è possibile pertanto accedervi direttamente. In questo caso specifico ho trovato il responsabile del problema in questo nodo. Ho impiegato tuttavia molto tempo perché sembra che la visualizzazione di queste tre temute richieste di accesso possa essere causata da diversi fattori. In poche parole, quando ho configurato il server ADFS, a) l'ho configurato per l'esecuzione come account di dominio e b) ho utilizzato un certificato creato esplicitamente per ADFS per la firma di token. Ho rilevato tuttavia che l'account di servizio utilizzato per ADFS non disponeva dei diritti per la chiave privata del certificato per la firma di token. Questo fattore ha causato la visualizzazione delle 3 richieste di accesso, il che si è rivelato interessante, sorprendente e frustrante allo stesso tempo. Per concedere diritti all'account di servizio per la chiave privata del certificato, è necessario eseguire MMC, aggiungere lo snap-in Certificati per il computer locale, aprire il nodo Personale, fare clic con il pulsante destro del mouse sul certificato per la firma di token e scegliere il menu Gestisci chiavi private. Da questo menu è possibile accedere a una scheda Sicurezza che consente di aggiungere l'account del servizio ADFS con almeno diritti di lettura per la chiave privata.

Mi auguro che queste informazioni possano consentire ad altri utenti di risparmiare tempo.

Questo è un post di blog localizzato. L'articolo originale è disponibile in The Dreaded 3 Login Prompts When Authenticating.