Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per impostazione predefinita, Windows Integrated Authentication (WIA) è abilitato in Active Directory Federation Services (AD FS) in Windows Server per le richieste di autenticazione che si verificano all'interno della rete interna dell'organizzazione (Intranet) per qualsiasi applicazione che usa un browser per l'autenticazione. Ad esempio, le applicazioni possono essere basate su browser che usano protocolli WS-Federation o SAML e applicazioni avanzate che usano il protocollo OAuth. WIA fornisce agli utenti finali l'accesso facile alle applicazioni senza dover immettere manualmente le credenziali. Tuttavia, alcuni dispositivi e browser non sono in grado di supportare WIA e di conseguenza le richieste di autenticazione da questi dispositivi hanno esito negativo. Inoltre, l'esperienza su alcuni browser che negoziano con NTLM non è auspicabile. L'approccio consigliato consiste nel fare ricorso all'autenticazione basata su moduli per tali dispositivi e browser.
AD FS in Windows Server 2016 e Windows Server 2012 R2 offre agli amministratori la possibilità di configurare l'elenco di agenti utente che supportano il fallback all'autenticazione basata su form. Il fallback è reso possibile da due configurazioni:
- La proprietà WIASupportedUserAgentStrings del cmdlet
Set-ADFSProperties - La proprietà WindowsIntegratedFallbackEnabled del
Set-AdfsGlobalAuthenticationPolicycmdlet
WIASupportedUserAgentStrings definisce gli agenti utente che supportano WIA. AD FS analizza la stringa agente utente durante l'esecuzione di accessi in un browser o nel controllo del browser. Se il componente della stringa dell'agente utente non corrisponde ad alcun componente delle stringhe dell'agente utente configurate nella proprietà WIASupportedUserAgentStrings , AD FS eseguirà il fallback per fornire l'autenticazione basata su form, purché il flag WindowsIntegratedFallbackEnabled sia impostato su True.
Per impostazione predefinita, è stata creata una nuova installazione di AD FS con un set di corrispondenze tra le stringhe dell'agente utente. Tuttavia, questi potrebbero non essere aggiornati in base alle modifiche apportate a browser e dispositivi. In particolare, i dispositivi Windows hanno stringhe di agente utente simili con variazioni secondarie nei token. L'esempio di Windows PowerShell seguente offre la guida migliore per il set corrente di dispositivi attualmente presenti sul mercato che supportano WIA in modo fluido.
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Il comando precedente garantisce che AD FS includa solo i casi d'uso seguenti per WIA:
| Agenti utente | Casi d'uso |
|---|---|
| MSIE 6.0 | Internet Explorer 6.0 |
| MSIE 7.0; Windows NT | Internet Explorer 7, Internet Explorer nell'area Intranet. Il frammento "Windows NT" viene inviato dal sistema operativo desktop. |
| MSIE 8.0 | Internet Explorer 8.0 (nessun dispositivo invia questo, quindi è necessario rendere più specifico) |
| MSIE 9.0 | Internet Explorer 9.0 (nessun dispositivo invia questo, quindi non è necessario renderlo più specifico) |
| MSIE 10.0; Windows NT 6 | Internet Explorer 10.0 per Windows XP e versioni più recenti del sistema operativo desktop sono escluse le versioni per dispositivi Windows Phone 8.0 (con preferenza impostata su mobile) perché inviano User-Agent: Mozilla/5.0 (compatibile; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Sistema operativo desktop Windows 8.1, piattaforme diverse |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Sistema operativo desktop Windows 8, piattaforme diverse |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Sistema operativo desktop Windows 7, piattaforme diverse |
| MSIPC | Client per la protezione e il controllo di Microsoft Information |
| Windows Client di Gestione dei Diritti | Windows Client di Gestione dei Diritti |
Per attivare il ripiego sull'autenticazione basata su moduli per gli agenti utente diversi da quelli indicati nella stringa WIASupportedUserAgents, impostare su true il flag WindowsIntegratedFallbackEnabled
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Assicurarsi anche che l'autenticazione basata su form sia abilitata per Intranet.
Configurazione di WIA per Chrome
È possibile aggiungere Chrome o altri agenti utente alla configurazione di AD FS che supporta WIA. Ciò consente l'accesso facile alle applicazioni senza dover immettere manualmente le credenziali quando si accede alle risorse protette da AD FS. Seguire questa procedura per abilitare WIA in Chrome:
Nella configurazione di AD FS aggiungere una stringa agente utente per Chrome nelle piattaforme basate su Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Analogamente per Chrome in Apple macOS, aggiungere la stringa dell'agente utente seguente alla configurazione di AD FS:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Verificare che la stringa dell'agente utente per Chrome sia ora impostata nelle proprietà di AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Nota
Man mano che vengono rilasciati nuovi browser e dispositivi, è consigliabile riconciliare le funzionalità di tali agenti utente e aggiornare la configurazione di AD FS di conseguenza per ottimizzare l'esperienza di autenticazione dell'utente quando si usano i browser e i dispositivi. In particolare, è consigliabile valutare nuovamente l'impostazione WIASupportedUserAgents in AD FS quando si aggiunge un nuovo dispositivo o un tipo di browser alla matrice di supporto per WIA.