Udostępnij za pośrednictwem


O365 - Como configurar Single Sign On (SSO) para browsers de terceiros no ADFS

By: Cesar Augusto Hara

Por padrão, o ADFS possui uma lista de browsers onde a autenticação é forçada a utilizar o Windows Integrated Authentication (WIA). Isso acontece através da propriedade WIASupportedUserAgentStrings.

Para a confirmação da lista de user agents, basta executar o comando abaixo e uma lista similar a esta será exibida:

 

Get-AdfsProperties | select -ExpandProperty WIASupportedUserAgents

MSAuthHost/1.0/In-Domain

MSIE 6.0

MSIE 7.0

MSIE 8.0

MSIE 9.0

MSIE 10.0

Trident/7.0

MSIPC Windows Rights Management Client

Com base no resultado acima, podemos observar que somente os browsers que enviam esta string utilizarão o WIA - para todos os outros será utilizado o Forms Based Authentication (FBA).

Esta propriedade pode ser alterada. Como exemplo, vamos utilizar os browsers Google Chrome e Mozilla Firefox para realizar os testes. Antes de executar a alteração, o comportamento é:

1cesarhara

[1]

Para customizar a propriedade supracitada, iremos executar o comando abaixo.

 

Set-ADFSProperties -WIASupportedUserAgents @("MSAuthHost/1.0/In-Domain", "MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

Podemos adicionar nesta mesma propriedade de “WIASupportedUserAgents”, outros browsers e versões. Basta possuir a informação do User Agent.

2cesarhara

[2]

O user agent “Mozilla/5.0” se aplica para Chrome e Firefox. Conforme o artigo da Mozilla, o Firefox deve ser configurado para aceitar o WIA na URL do ADFS. Foi necessário customizar a preferência “network.automatic-ntlm-auth.trusted-uris”.

 

[1] Usuários internos, em dispositivos domain joined recebem a tela de FBA para se autenticar;

[2] Após a execução do comando, o SSO já passa a funcionar e a tela de FBA não é mais exibida.


For this post to be translated to English, please comment below.