認証時に、あろうことか、ログイン プロンプトが 3 つも表示される

認証時に、あろうことか、ログイン プロンプトが 3 つも表示される

このありふれた問題が私の身に起こったのは今週末のことでした。と言いますか、実際に問題が起こったのは、不幸なことに、再構築中の ADFS サーバーでした。知る限りで最も一般的な理由としては、Kerberos の設定に誤りがあるか、サーバー名以外の名前が Web アプリケーションに使用されているか (無効なループバックのシナリオ) のいずれかのはずです。ところが今回はそうではなく、ADFS サーバー固有の問題でした。そこで、今後の参考のために、この問題について記録しておくことにしました。

AD FS 2.0 は、問題をイベント ログに非常に適切に書き込みます。イベント ビューアーを開くと、AD FS 2.0 専用のノードが表示されるので、問題があればそれを調べます。今回の特殊なケースでも、最終的にはそこから問題の原因を見つけましたが、それがわかるまでには非常に多くの時間がかかりました。というのも、さまざまな点で多くのことが異なり、あろうことか、ログイン プロンプトが 3 つも表示されるのが近頃のようですから。長い話を簡潔にまとめると、ADFS サーバーを次のように構成しました。a) ADFS サーバーをドメイン アカウントとして実行する。b) ADFS 用に作成した証明書をトークン署名に使用する。明らかになった問題とは、ADFS 用に使用したサービス アカウントに、自分のトークン署名証明書の秘密キーに対する権限がなかったことでした。よりによって、それが原因で、ログイン プロンプトが 3 つも呼び出されました。しかもそれがすべて同時に呼び出されるわけですから、興味深くあり、驚きでもあり、ストレスでもあります。件のサービス アカウントに証明書の秘密キーに対する権限を付与するには、MMC を実行して、ローカル コンピューターの証明書スナップインを追加し、[個人用] (Personal) ノードを開いてトークン署名証明書を右クリックし、[秘密キーの管理] (Manage Private Key) メニューを選択します。このメニューから [セキュリティ] (Security) タブに移動すれば、最低限秘密キーに対する読み取り権限を持つ ADFS サービス アカウントを追加できます。

今後、同様の問題が発生した場合に、この情報をお役立ていただけると幸いです。

これはローカライズされたブログ投稿です。原文の記事は、「The Dreaded 3 Login Prompts When Authenticating」をご覧ください。