Partilhar via


Configurar a autenticação baseada em formulários da intranet para dispositivos que não dão suporte à WIA (Autenticação Integrada do Windows)

Por padrão, a WIA (Autenticação Integrada do Windows) está habilitada no AD FS (Serviços de Federação do Active Directory) no Windows Server para solicitações de autenticação que ocorrerem dentro da rede interna da organização (intranet) para aplicativos que utilizem um navegador para a autenticação. Por exemplo, os aplicativos podem ser baseados em navegador que usam protocolos Web Services Federation ou SAML e aplicativos avançados que usam o protocolo OAuth. A WIA fornece aos usuários finais logon contínuo para os aplicativos sem precisar inserir manualmente suas credenciais. No entanto, alguns dispositivos e navegadores não são capazes de dar suporte à WIA e, como resultado, as solicitações de autenticação desses dispositivos falham. Além disso, a experiência em determinados navegadores que negociam com o NTLM não é desejável. A abordagem recomendada é voltar à autenticação baseada em formulários para esses dispositivos e navegadores.

O AD FS no Windows Server 2016 e no Windows Server 2012 R2 fornece aos administradores a capacidade de configurar a lista de agentes de usuário que dão suporte ao fallback para autenticação baseada em formulários. O fallback é possível por duas configurações:

  • A propriedade WIASupportedUserAgentStrings do commandlet Set-ADFSProperties
  • A propriedade WindowsIntegratedFallbackEnabled do commandlet Set-AdfsGlobalAuthenticationPolicy

O WIASupportedUserAgentStrings define os agentes do usuário que dão suporte à WIA. O AD FS analisa a cadeia de caracteres de agente de usuário ao realizar logons em um navegador ou controle do navegador. Se o componente da cadeia de caracteres do agente do usuário não corresponder a nenhum dos componentes das cadeias de caracteres do agente do usuário configuradas na propriedade WIASupportedUserAgentStrings, o AD FS voltará a fornecer autenticação baseada em formulários, desde que o sinalizador WindowsIntegratedFallbackEnabled esteja definido como True.

Por padrão, uma nova instalação do AD FS tem um conjunto de correspondências de cadeia de caracteres de agente de usuário criadas. No entanto, poderão estar sem atualização com base nas alterações de navegadores e dispositivos. Particularmente, os dispositivos Windows têm cadeias de caracteres de agente de usuário semelhantes com pequenas variações nos tokens. O seguinte exemplo do PowerShell do Windows fornece as melhores diretrizes para o conjunto atual de dispositivos que estão atualmente no mercado e dão suporte à WIA contínua:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")

O comando acima garantirá que o AD FS cubra apenas os seguintes casos de uso para a WIA:

Agentes de usuário Casos de uso
MSIE 6.0 IE 6.0
MSIE 7.0; Windows NT IE 7, IE na zona da intranet. O fragmento "Windows NT" é enviado pelo sistema operacional de desktop.
MSIE 8.0 IE 8.0 (nenhum dispositivo envia, então, é necessário ser mais específico)
MSIE 9.0 IE 9.0 (nenhum dispositivo envia, então, não é necessário torná-lo mais específico)
MSIE 10.0; Windows NT 6 IE 10.0 para Windows XP e versões mais recentes do sistema operacional de desktop

Dispositivos Windows Phone 8.0 (com preferência definida como móvel) são excluídos porque enviam

Agente de Usuário: Mozilla/5.0 (compatível; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920)
Windows NT 6.3; Trident/7.0

Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; WOW64; Trident/7.0
Sistema operacional de desktop do Windows 8.1, plataformas diferentes
Windows NT 6.2; Trident/7.0

Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; WOW64; Trident/7.0
Sistema operacional de desktop do Windows 8, plataformas diferentes
Windows NT 6.1; Trident/7.0

Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; WOW64; Trident/7.0
Sistema operacional de desktop do Windows 7, plataformas diferentes
MSIPC Cliente de Information Protection and Control da Microsoft
Cliente do Windows Rights Management Cliente do Windows Rights Management

Para habilitar o fallback para autenticação baseada em formulário para agentes de usuário diferentes daqueles mencionados na cadeia de caracteres WIASupportedUserAgents, defina o sinalizador WindowsIntegratedFallbackEnabled como true

Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true

Verifique também se a autenticação baseada em formulários está habilitada para intranet.

Configurando a WIA para Chrome

É possível adicionar o Chrome ou outros agentes de usuário à configuração do AD FS que dá suporte à WIA. Isso permite o logon contínuo em aplicativos sem precisar inserir credenciais manualmente ao acessar recursos protegidos pelo AD FS. Siga as etapas abaixo para habilitar a WIA no Chrome:

Na configuração do AD FS, adicione uma cadeia de caracteres de agente de usuário para o Chrome em plataformas baseadas no Windows:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"

E da mesma forma para o Chrome no Apple macOS, adicione a seguinte cadeia de caracteres de agente de usuário à configuração do AD FS:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"

Confirme se a cadeia de caracteres do agente do usuário para Chrome agora está definida nas propriedades do AD FS:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

configure auth

Observação

À medida que novos navegadores e dispositivos são lançados, é recomendável reconciliar os recursos desses agentes de usuário e atualizar a configuração do AD FS adequadamente para otimizar a experiência de autenticação do usuário ao usar o navegador e os dispositivos. Mais especificamente, é recomendável reavaliar a configuração WIASupportedUserAgents no AD FS ao adicionar um novo tipo de dispositivo ou navegador à matriz de suporte para a WIA.