Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Por padrão, a Autenticação Integrada do Windows (WIA) é habilitada nos Serviços de Federação do Ative Directory (AD FS) no Windows Server para solicitações de autenticação que ocorrem na rede interna (intranet) da organização para qualquer aplicativo que use um navegador para sua autenticação. Por exemplo, os aplicativos podem ser baseados em navegador que usam protocolos WS-Federation ou SAML e aplicativos avançados que usam o protocolo OAuth. O WIA fornece aos usuários finais logon contínuo para os aplicativos sem ter que inserir manualmente suas credenciais. No entanto, alguns dispositivos e navegadores não são capazes de suportar WIA e, como resultado, as solicitações de autenticação desses dispositivos falham. Além disso, a experiência em certos navegadores que negociam com NTLM não é desejável. A abordagem recomendada é recorrer à autenticação baseada em formulários para esses dispositivos e navegadores.
O AD FS no Windows Server 2016 e no Windows Server 2012 R2 fornece aos administradores a capacidade de configurar a lista de agentes de usuário que oferecem suporte ao fallback para autenticação baseada em formulários. O fallback é possibilitado por duas configurações:
- Esta propriedade WIASupportedUserAgentStrings do
Set-ADFSPropertiescmdlet - A propriedade WindowsIntegratedFallbackEnabled do
Set-AdfsGlobalAuthenticationPolicycmdlet
O WIASupportedUserAgentStrings define os agentes de usuário que suportam WIA. O AD FS analisa a cadeia de caracteres do agente do usuário ao executar logons em um navegador ou controle de navegador. Se o componente da cadeia de caracteres do agente do usuário não corresponder a nenhum dos componentes das cadeias de caracteres do agente do usuário configuradas na propriedade WIASupportedUserAgentStrings , o AD FS voltará a fornecer autenticação baseada em formulários, desde que o sinalizador WindowsIntegratedFallbackEnabled esteja definido como True.
Por predefinição, uma nova instalação do AD FS tem um conjunto de correspondências criadas para a cadeia de caracteres do agente de utilizador. No entanto, estes podem estar desatualizados com base em alterações nos navegadores e dispositivos. Particularmente, os dispositivos Windows têm cadeias de caracteres de agente de usuário semelhantes com pequenas variações nos tokens. O exemplo do Windows PowerShell a seguir fornece a melhor orientação para o conjunto atual de dispositivos que estão no mercado atualmente e oferecem suporte a WIA contínuo:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
O comando acima garantirá que o AD FS cubra apenas os seguintes casos de uso para WIA:
| Agentes do utilizador | Casos de uso |
|---|---|
| MSIE 6,0 | IE 6,0 |
| MSIE 7.0; Windows NT | IE 7, IE na zona da intranet. O fragmento "Windows NT" é enviado pelo sistema operativo da área de trabalho. |
| MSIE 8,0 | IE 8.0 (nenhum dispositivo envia isto, portanto, é necessário ser mais específico) |
| MSIE 9,0 | IE 9.0 (nenhum dispositivo envia isso, então não há necessidade de tornar isso mais específico) |
| MSIE 10.0; Windows NT 6 | IE 10.0 para Windows XP e versões mais recentes do sistema operacional de desktop. Os dispositivos Windows Phone 8.0 (com preferência definida como móvel) são excluídos porque enviam User-Agent: Mozilla/5.0 (compatível; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Tridente/7.0 |
Sistema operativo de ambiente de trabalho Windows 8.1, diferentes plataformas |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Tridente/7.0 |
Sistema operativo de ambiente de trabalho Windows 8, diferentes plataformas |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Tridente/7.0 |
Sistema operativo de ambiente de trabalho Windows 7, diferentes plataformas |
| MSIPC | Cliente de Proteção e Controle de Informações da Microsoft |
| Cliente do Windows Rights Management | Cliente do Windows Rights Management |
Para habilitar a autenticação baseada em formulário para agentes de usuário diferentes daqueles mencionados na cadeia de caracteres WIASupportedUserAgents, defina o sinalizador WindowsIntegratedFallbackEnabled como true
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Verifique também se a autenticação baseada em formulários está habilitada para intranet.
Configurar o WIA para Chrome
Pode adicionar o Chrome ou outros agentes de utilizador à configuração do AD FS que suporta WIA. Isso permite o logon contínuo em aplicativos sem a necessidade de inserir credenciais manualmente quando você acessa recursos protegidos pelo AD FS. Siga os passos abaixo para ativar o WIA no Chrome:
Na configuração do AD FS, adicione uma cadeia de caracteres de agente do usuário para o Chrome em plataformas baseadas no Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Da mesma forma para o Chrome no Apple macOS, adicione a seguinte cadeia de caracteres do agente do usuário à configuração do AD FS:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Confirme se a cadeia de caracteres do agente do utilizador para o Chrome está agora definida nas propriedades do AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Observação
À medida que novos navegadores e dispositivos são lançados, é recomendável que você reconcilie os recursos desses agentes de usuário e atualize a configuração do AD FS de acordo para otimizar a experiência de autenticação do usuário ao usar esse navegador e dispositivos. Mais especificamente, é recomendável reavaliar a configuração WIASupportedUserAgents no AD FS ao adicionar um novo dispositivo ou tipo de navegador à matriz de suporte para WIA.