Problembehandlung bei der IDP-initiierten Anmeldung von Active Directory-Verbunddienste (AD FS)
Mithilfe der AD FS-Anmeldeseite kann überprüft werden, ob die Authentifizierung funktioniert. Bei diesem Test navigieren Sie zu der Seite, und melden sich an. Außerdem können Sie die Anmeldeseite verwenden, um zu überprüfen, ob alle auf SAML 2.0 vertrauenden Seiten aufgeführt sind.
Aktivieren der IDP-initiierten Anmeldeseite
Standardmäßig ist in AD FS unter Windows 2016 die Anmeldeseite nicht aktiviert. Um die Seite zu aktivieren, können Sie den PowerShell-Befehl Set-AdfsProperties
verwenden. Aktivieren Sie anhand des folgenden Verfahrens die Seite:
Öffnen Sie Windows PowerShell.
Geben Sie
Get-AdfsProperties
ein, und drücken Sie die EINGABETASTE.Vergewissern Sie sich, dass die Eigenschaft EnableIdpInitiatedSignonPage auf „false“ festgelegt ist.
Geben Sie in PowerShell
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
ein.PowerShell stellt keine Bestätigung für den Befehl
Set-AdfsProperties
bereit. Um zu bestätigen, dass die Eigenschaft EnableIdpInitatedSignonPage auf „true“ festgelegt ist, geben Sie den BefehlGet-AdfsProperties
erneut ein, und überprüfen Sie den Wert für die Eigenschaft.
Authentifizierung testen
Verwenden Sie das folgende Verfahren, um die AD FS-Authentifizierung mit der IDP-initiierten Anmeldeseite zu testen:
Öffnen Sie einen Webbrowser, und navigieren Sie zur IDP-Anmeldeseite. Die URL könnte folgendermaßen aussehen:
https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx
.Sie sollten aufgefordert werden, sich anzumelden. Geben Sie Ihre Anmeldeinformationen ein.
Wenn der Prozess erfolgreich ist, werden Sie angemeldet.
Testen der Authentifizierung mit nahtloser Anmeldung
Sie können die nahtlose Anmeldeumgebung testen, indem Sie sicherstellen, dass die URL für Ihre AD FS-Server zur lokalen Intranetzone Ihrer Internetoptionen hinzugefügt wird. Gehen Sie dazu wie folgt vor:
Wählen Sie auf einem Windows 10-Client Start aus, geben Sie Internetoptionen ein, und wählen Sie Internetoptionen aus.
Wählen Sie die Registerkarte Sicherheit > Lokales Intranet > Sites aus.
Wählen Sie Erweitertaus.
Geben Sie Ihre URL ein, und wählen Sie Hinzufügen aus. Klicken Sie auf Schließen.
Klicken Sie auf OK. Wählen Sie anschließend OK aus, um die Internetoptionen zu schließen.
Öffnen Sie einen Webbrowser, und navigieren Sie zur IDP-Anmeldeseite. Die URL könnte folgendermaßen aussehen:
https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx
.Wählen Sie die Schaltfläche Anmelden aus. Sie sollten automatisch angemeldet und nicht zur Eingabe von Anmeldeinformationen aufgefordert werden.
Bekannte Probleme
Die AD FS-Anmeldeseite kann nicht verwendet werden, um eine Anmeldung bei einer Anspruchsanbieter-Vertrauensstellung zu initiieren, die nur mit einem passiven WS-Verbund-Endpunkt konfiguriert ist. Registrieren Sie eine vertrauende Seite wie ClaimsXRay, um zu überprüfen, ob eine WS-Verbund-Anspruchsanbieter-Vertrauensstelle wie erwartet funktioniert.