Konfigurowanie uwierzytelniania opartego na formularzach intranetu dla urządzeń, które nie obsługują zintegrowanego uwierzytelniania systemu Windows (WIA)
Domyślnie zintegrowane uwierzytelnianie systemu Windows (WIA) jest włączone w usługach Active Directory Federation Services (AD FS) w systemie Windows Server na potrzeby żądań uwierzytelniania występujących w sieci wewnętrznej organizacji (intranet) dla każdej aplikacji, która używa przeglądarki do uwierzytelniania. Na przykład aplikacje mogą być oparte na przeglądarce, które używają protokołów WS-Federation lub SAML i zaawansowanych aplikacji korzystających z protokołu OAuth. WIA zapewnia użytkownikom końcowym bezproblemowe logowanie się do aplikacji bez konieczności ręcznego wprowadzania poświadczeń. Jednak niektóre urządzenia i przeglądarki nie są w stanie obsługiwać WIA i w rezultacie żądania uwierzytelniania z tych urządzeń kończą się niepowodzeniem. Ponadto doświadczenie w niektórych przeglądarkach, które obsługują negocjacje NTLM, nie jest pożądane. Zalecaną metodą jest powrót do uwierzytelniania opartego na formularzach dla takich urządzeń i przeglądarek.
Usługi AD FS w systemach Windows Server 2016 i Windows Server 2012 R2 zapewniają administratorom możliwość skonfigurowania listy agentów użytkowników, którzy obsługują powrót do uwierzytelniania opartego na formularzach. Rezerwa jest możliwa przez dwie konfiguracje:
- Właściwość WIASupportedUserAgentStrings polecenia
Set-ADFSProperties - Właściwość WindowsIntegratedFallbackEnabled polecenia
Set-AdfsGlobalAuthenticationPolicy
WIASupportedUserAgentStrings definiuje agentów użytkowników, którzy obsługują WIA. Usługi AD FS analizują ciąg agenta użytkownika podczas logowania w przeglądarce lub kontrolce przeglądarki. Jeśli składnik ciągu agenta użytkownika nie jest zgodny z żadnym ze składników ciągów agenta użytkownika skonfigurowanych we właściwości WIASupportedUserAgentStrings, AD FS powróci do zapewnienia uwierzytelniania opartego na formularzach, pod warunkiem że flaga WindowsIntegratedFallbackEnabled jest ustawiona na True.
Domyślnie nowa instalacja usług AD FS ma utworzony zestaw dopasowań na podstawie ciągów identyfikujących agenta użytkownika. Mogą one jednak być nieaktualne na podstawie zmian w przeglądarkach i urządzeniach. Szczególnie urządzenia z systemem Windows mają podobne ciągi znaków agenta użytkownika, z drobnymi różnicami w tokenach. Poniższy przykład programu Windows PowerShell zawiera najlepsze wskazówki dotyczące bieżącego zestawu urządzeń, które są obecnie dostępne na rynku, które obsługują bezproblemową obsługę WIA:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Powyższe polecenie zapewni, że usługi AD FS obejmują tylko następujące przypadki użycia dla WIA:
| Agenci użytkownika | Przypadki użycia |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE w strefie intranet. Fragment "Windows NT" jest wysyłany przez system operacyjny używany na komputerze stacjonarnym. |
| MSIE 8.0 | Internet Explorer 8.0 (żadne urządzenia tego nie wysyłają, więc trzeba to bardziej sprecyzować) |
| MSIE 9.0 | IE 9.0 (żadne urządzenie tego nie wysyła, więc nie ma potrzeby, by to bardziej specyfikować) |
| MSIE 10.0; Windows NT 6 | Program IE 10.0 dla systemu Windows XP i nowszych wersji systemu operacyjnego na komputery stacjonarne urządzeniach z systemem Windows Phone 8.0 (z preferencjami ustawionymi na urządzenia przenośne) są wykluczone, ponieważ wysyłają agenta użytkownika: Mozilla/5.0 (zgodne; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Dotyk; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
System operacyjny Windows 8.1 desktop, różne platformy |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
System operacyjny Windows 8 Desktop, różne platformy |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
System operacyjny Windows 7 desktop, różne platformy |
| MSIPC | Microsoft Information Protection i Kontroli Klient |
| Klient usługi Windows Rights Management | Klient usługi Windows Rights Management |
Aby umożliwić powrót do uwierzytelniania opartego na formularzu dla wszystkich agentów spoza listy wymienionej w ciągu WIASupportedUserAgents, ustaw flagę WindowsIntegratedFallbackEnabled na true.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Upewnij się również, że dla intranetu włączono uwierzytelnianie oparte na formularzach.
Konfigurowanie WIA dla programu Chrome
Możesz dodać przeglądarkę Chrome lub innych agentów użytkowników do konfiguracji usług AD FS, która obsługuje WIA. Umożliwia to bezproblemowe logowanie do aplikacji bez konieczności ręcznego wprowadzania poświadczeń podczas uzyskiwania dostępu do zasobów chronionych przez usługi AD FS. Wykonaj poniższe kroki, aby włączyć aplikację WIA w przeglądarce Chrome:
W konfiguracji usług AD FS dodaj ciąg agenta użytkownika dla przeglądarki Chrome na platformach opartych na systemie Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Podobnie w przypadku programu Chrome w systemie macOS dodaj następujący ciąg agenta użytkownika do konfiguracji AD FS.
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Upewnij się, że ciąg agenta użytkownika dla programu Chrome jest teraz ustawiony we właściwościach usług AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Uwaga
W miarę wydawania nowych przeglądarek i urządzeń zaleca się uzgadnianie możliwości tych agentów użytkowników i aktualizowanie konfiguracji usług AD FS odpowiednio w celu zoptymalizowania środowiska uwierzytelniania użytkownika podczas korzystania z tej przeglądarki i urządzeń. W szczególności zaleca się ponowne obliczenie ustawienia WIASupportedUserAgents w usługach AD FS podczas dodawania nowego urządzenia lub typu przeglądarki do macierzy obsługi WIA.