Konfigurieren von Browsers für die Verwendung der integrierten Windows-Authentifizierung (Windows Integrated Authentication, WIA) mit AD FS
Die integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA) ist standardmäßig in Active Directory-Verbunddienste (AD FS) unter Windows Server 2012 R2 für Authentifizierungsanforderungen aktiviert, die im internen Netzwerk (Intranet) der Organisation für jede Anwendung auftreten, die einen Browser für die Authentifizierung verwendet.
AD FS 2016 verfügt jetzt über verbesserte Standardeinstellungen, die es dem Edge-Browser ermöglichen, WIA zu verwenden, aber nicht auch (fälschlicherweise) Windows Phone abzufangen:
=~Windows\s*NT.*Edg.*
Dies bedeutet, dass Sie keine einzelnen Benutzer-Agent-Zeichenfolgen mehr konfigurieren müssen, um allgemeine Szenarien in Edge zu unterstützen, obwohl sie häufig aktualisiert werden.
Konfigurieren Sie für andere Browser die AD FS-Eigenschaft WIaSupportedUserAgents, um die erforderlichen Werte basierend auf den verwendeten Browsern hinzuzufügen. Sie können dazu die folgenden Verfahren anwenden.
Anzeigen von WIASupportedUserAgent-Einstellungen
Die WIASupportedUserAgents-Eigenschaft definiert die Benutzer-Agents, die WIA unterstützen. AD FS analysiert die Zeichenfolge des Benutzer-Agents beim Ausführen von Anmeldungen in einem Browser oder Browsersteuerelement.
Sie können die aktuellen Einstellungen mit dem folgenden PowerShell-Beispiel anzeigen:
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
Ändern von WIASupportedUserAgent-Einstellungen
Standardmäßig verfügt eine Neuinstallation von AD FS über übereinstimmende Benutzer-Agent-Zeichenfolgen. Diese können jedoch aufgrund von Änderungen an Browsern und Geräten veraltet sein. Insbesondere verfügen Windows-Geräte über ähnliche Benutzer-Agent-Zeichenfolgen mit geringfügigen Variationen bei den Token. Das folgende Windows PowerShell-Beispiel zeigt optimale Einstellungen für aktuelle Geräte, die heute auf dem Markt sind und nahtlose WIA unterstützen:
Bei AD FS unter Windows Server 2012 R2 oder früher:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Bei AD FS unter Windows Server 2016 oder höher:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
Mit dem obigen Befehl wird sichergestellt, dass AD FS nur die folgenden Anwendungsfälle für WIA abdeckt:
Benutzer-Agents | Anwendungsfälle |
---|---|
MSIE 6.0 | IE 6.0 |
MSIE 7.0; Windows NT | IE 7, IE in Intranetzone. Das Fragment „Windows NT“ wird vom Desktopbetriebssystem gesendet. |
MSIE 8.0 | IE 8.0 (wird von keinen Geräte gesendet und muss daher spezifiziert werden) |
MSIE 9.0 | IE 9.0 (wird von keinen Geräte gesendet und muss daher nicht spezifiziert werden) |
MSIE 10.0; Windows NT 6 | IE 10.0 für Windows XP und neuere Versionen des Desktopbetriebssystems Windows Phone 8.0-Geräte (mit auf „mobil“ festgelegter Einstellung) sind ausgeschlossen, da sie senden Benutzer-Agent: Mozilla/5.0 (kompatibel; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 8.1, verschiedene Plattformen |
Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 8, verschiedene Plattformen |
Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 7, verschiedene Plattformen |
Edg/ und Edge/ | Microsoft Edge (Chromium) für Windows Server 2012 R2 oder früher |
=~Windows\s*NT.*Edg.* | Microsoft Edge (Chromium) für Windows Server 2016 oder höher |
MSIPC | Microsoft Information Protection and Control-Client |
Windows-Rechteverwaltungsclient | Windows-Rechteverwaltungsclient |