Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Integrated Authentication (WIA) is standaard ingeschakeld in Active Directory Federation Services (AD FS) in Windows Server voor verificatieaanvragen die plaatsvinden binnen het interne netwerk van de organisatie (intranet) voor elke toepassing die gebruikmaakt van een browser voor de verificatie. Toepassingen kunnen bijvoorbeeld browsergebaseerde toepassingen zijn die gebruikmaken van WS-Federation- of SAML-protocollen en uitgebreide toepassingen die gebruikmaken van het OAuth-protocol. WIA biedt eindgebruikers naadloze aanmelding bij de toepassingen zonder dat ze hun referenties handmatig hoeven in te voeren. Sommige apparaten en browsers kunnen echter geen WIA ondersteunen en als gevolg hiervan mislukken verificatieaanvragen van deze apparaten. Ook is de ervaring met bepaalde browsers die onderhandelen over NTLM niet wenselijk. De aanbevolen methode is om terug te vallen op verificatie op basis van formulieren voor dergelijke apparaten en browsers.
AD FS in Windows Server 2016 en Windows Server 2012 R2 biedt de beheerders de mogelijkheid om de lijst met gebruikersagents te configureren die ondersteuning bieden voor de terugval op formulieren gebaseerde verificatie. De terugval wordt mogelijk gemaakt door twee configuraties:
- De eigenschap WIASupportedUserAgentStrings van de
Set-ADFSPropertiescommandlet - De eigenschap WindowsIntegratedFallbackEnabled van de
Set-AdfsGlobalAuthenticationPolicycommandlet
De WIASupportedUserAgentStrings definieert de gebruikersagenten die WIA ondersteunen. AD FS analyseert de tekenreeks van de gebruikersagent bij het uitvoeren van aanmeldingen in een browser of browserbesturing. Als het onderdeel van de gebruikersagenttekenreeks niet overeenkomt met een van de onderdelen van de gebruikersagenttekenreeksen die zijn geconfigureerd in de eigenschap WIASupportedUserAgentStrings , valt AD FS terug op het leveren van verificatie op basis van formulieren, mits de vlag WindowsIntegratedFallbackEnabled is ingesteld op True.
Standaard heeft een nieuwe AD FS-installatie een reeks gebruikersagent-strings die worden herkend. Deze kunnen echter verouderd zijn op basis van wijzigingen in browsers en apparaten. Met name Windows-apparaten hebben vergelijkbare tekenreeksen voor gebruikersagents met kleine variaties in de tokens. Het volgende Windows PowerShell-voorbeeld bevat de beste richtlijnen voor de huidige set apparaten die momenteel op de markt zijn die naadloze WIA ondersteunen:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Met de bovenstaande opdracht zorgt u ervoor dat AD FS alleen de volgende use cases voor WIA behandelt:
| Gebruikersagenten | Gebruikssituaties |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE in intranetzone. Het 'Windows NT'-fragment wordt verzonden door het desktopbesturingssysteem. |
| MSIE 8.0 | IE 8.0 (geen apparaten geven dit door, dus moet het specifieker worden gemaakt) |
| MSIE 9.0 | IE 9.0 (er worden geen signalen vanaf apparaten verzonden, dus je hoeft dit niet specifieker te maken) |
| MSIE 10.0; Windows NT 6 | IE 10.0 voor Windows XP en nieuwere versies van desktopbesturingssysteem Windows Phone 8.0-apparaten (met voorkeur ingesteld op mobiel) worden uitgesloten omdat ze User-Agent verzenden: Mozilla/5.0 (compatibel; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Aanraken; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Windows 8.1-bureaubladbesturingssysteem, verschillende platforms |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Windows 8 desktop besturingssysteem, verschillende platforms |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Windows 7-bureaubladbesturingssysteem, verschillende platforms |
| MSIPC | Microsoft-informatiebeschermings- en -controlclient |
| Windows Rights Management-Client | Windows Rights Management-client |
Stel de vlag WindowsIntegratedFallbackEnabled in op true om, waar nodig, terug te vallen op formuliergebaseerde verificatie voor gebruikersagents, behalve die met vermelding in de tekenreeks WIASupportedUserAgents.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Zorg er ook voor dat de verificatie op basis van formulieren is ingeschakeld voor intranet.
WIA configureren voor Chrome
U kunt Chrome of andere gebruikersagents toevoegen aan de AD FS-configuratie die WIA ondersteunt. Dit maakt naadloze aanmelding bij toepassingen mogelijk zonder dat u handmatig referenties hoeft in te voeren wanneer u toegang hebt tot resources die worden beveiligd door AD FS. Volg de onderstaande stappen om WIA in te schakelen in Chrome:
Voeg in de AD FS-configuratie een tekenreeks voor de gebruikersagent toe voor Chrome op Windows-platforms:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
En op dezelfde manier voor Chrome op Apple macOS voegt u de volgende gebruikersagenttekenreeks toe aan de AD FS-configuratie:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Controleer of de tekenreeks van de gebruikersagent voor Chrome nu is ingesteld in de AD FS-eigenschappen:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Notitie
Wanneer er nieuwe browsers en apparaten worden uitgebracht, is het raadzaam om de mogelijkheden van deze gebruikersagents af te stemmen en de AD FS-configuratie dienovereenkomstig bij te werken om de verificatie-ervaring van de gebruiker te optimaliseren bij het gebruik van deze browser en apparaten. Het wordt aangeraden om de instelling WIASupportedUserAgents in AD FS opnieuw te evalueren wanneer u een nieuw apparaat of browsertype toevoegt aan uw ondersteuningsmatrix voor WIA.