Freigeben über


Problembehandlung bei der IDP-initiierten Anmeldung von Active Directory-Verbunddienste (AD FS)

Mithilfe der AD FS-Anmeldeseite kann überprüft werden, ob die Authentifizierung funktioniert. Bei diesem Test navigieren Sie zu der Seite, und melden sich an. Außerdem können Sie die Anmeldeseite verwenden, um zu überprüfen, ob alle auf SAML 2.0 vertrauenden Seiten aufgeführt sind.

Aktivieren der IDP-initiierten Anmeldeseite

Standardmäßig ist in AD FS unter Windows 2016 die Anmeldeseite nicht aktiviert. Um die Seite zu aktivieren, können Sie den PowerShell-Befehl Set-AdfsProperties verwenden. Aktivieren Sie anhand des folgenden Verfahrens die Seite:

  1. Öffnen Sie Windows PowerShell.

  2. Geben Sie Get-AdfsProperties ein, und drücken Sie die EINGABETASTE.

  3. Vergewissern Sie sich, dass die Eigenschaft EnableIdpInitiatedSignonPage auf „false“ festgelegt ist.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. Geben Sie in PowerShell Set-AdfsProperties -EnableIdpInitiatedSignonPage $true ein.

  5. PowerShell stellt keine Bestätigung für den Befehl Set-AdfsProperties bereit. Um zu bestätigen, dass die Eigenschaft EnableIdpInitatedSignonPage auf „true“ festgelegt ist, geben Sie den Befehl Get-AdfsProperties erneut ein, und überprüfen Sie den Wert für die Eigenschaft.

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Authentifizierung testen

Verwenden Sie das folgende Verfahren, um die AD FS-Authentifizierung mit der IDP-initiierten Anmeldeseite zu testen:

  1. Öffnen Sie einen Webbrowser, und navigieren Sie zur IDP-Anmeldeseite. Die URL könnte folgendermaßen aussehen: https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Sie sollten aufgefordert werden, sich anzumelden. Geben Sie Ihre Anmeldeinformationen ein.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Wenn der Prozess erfolgreich ist, werden Sie angemeldet.

Testen der Authentifizierung mit nahtloser Anmeldung

Sie können die nahtlose Anmeldeumgebung testen, indem Sie sicherstellen, dass die URL für Ihre AD FS-Server zur lokalen Intranetzone Ihrer Internetoptionen hinzugefügt wird. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie auf einem Windows 10-Client Start aus, geben Sie Internetoptionen ein, und wählen Sie Internetoptionen aus.

  2. Wählen Sie die Registerkarte Sicherheit > Lokales Intranet > Sites aus.

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Wählen Sie Erweitertaus.

  4. Geben Sie Ihre URL ein, und wählen Sie Hinzufügen aus. Klicken Sie auf Schließen.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Klicken Sie auf OK. Wählen Sie anschließend OK aus, um die Internetoptionen zu schließen.

  6. Öffnen Sie einen Webbrowser, und navigieren Sie zur IDP-Anmeldeseite. Die URL könnte folgendermaßen aussehen: https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Wählen Sie die Schaltfläche Anmelden aus. Sie sollten automatisch angemeldet und nicht zur Eingabe von Anmeldeinformationen aufgefordert werden.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Bekannte Probleme

Die AD FS-Anmeldeseite kann nicht verwendet werden, um eine Anmeldung bei einer Anspruchsanbieter-Vertrauensstellung zu initiieren, die nur mit einem passiven WS-Verbund-Endpunkt konfiguriert ist. Registrieren Sie eine vertrauende Seite wie ClaimsXRay, um zu überprüfen, ob eine WS-Verbund-Anspruchsanbieter-Vertrauensstelle wie erwartet funktioniert.

Nächste Schritte