Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию встроенная проверка подлинности Windows (WIA) включена в службах федерации Active Directory (AD FS) в Windows Server для запросов на проверку подлинности, которые происходят в внутренней сети организации (интрасети) для любого приложения, использующего браузер для его проверки подлинности. Например, приложения могут быть браузерными, которые используют протоколы WS-Federation или SAML и расширенные приложения, использующие протокол OAuth. WIA предоставляет конечным пользователям простой вход в приложения без необходимости вводить учетные данные вручную. Однако некоторые устройства и браузеры не могут поддерживать WIA, и в результате запросы проверки подлинности от этих устройств завершаются сбоем. Кроме того, взаимодействие с определенными браузерами, которые ведут переговоры с NTLM, нежелательно. Рекомендуемый подход — вернуться к проверке подлинности на основе форм для таких устройств и браузеров.
AD FS в Windows Server 2016 и Windows Server 2012 R2 предоставляют администраторам возможность настраивать список агентов пользователей, поддерживающих резервную проверку подлинности на основе форм. Резервная схема возможна двумя конфигурациями:
- Свойство WIASupportedUserAgentStrings командлета
Set-ADFSProperties
- Свойство WindowsIntegratedFallbackEnabled командлета
Set-AdfsGlobalAuthenticationPolicy
WIASupportedUserAgentStrings определяет агенты пользователей, поддерживающие WIA. AD FS анализирует строку агента пользователя при выполнении входа в браузере или элементе управления браузером. Если компонент строки агента пользователя не соответствует ни одному из компонентов строк агента пользователя, настроенных в свойстве WIASupportedUserAgentStrings, AD FS переключается на аутентификацию на основе форм, при условии, что флаг WindowsIntegratedFallbackEnabled установлен в значение True.
По умолчанию при новой установке AD FS создаётся набор шаблонов строк агента пользователя. Однако они могут быть устаревшими на основе изменений в браузерах и устройствах. В частности, устройства Windows имеют аналогичные строки агента пользователя с незначительными вариациями маркеров. В следующем примере Windows PowerShell приведены лучшие рекомендации для текущего набора устройств, которые находятся на рынке сегодня, которые поддерживают простой WIA:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Приведенная выше команда гарантирует, что AD FS охватывает только следующие варианты использования для WIA:
Агенты пользователя | Случаи использования |
---|---|
MSIE 6.0 | IE 6.0 |
MSIE 7.0; Windows NT | IE 7, IE в интрасетевой зоне. Фрагмент Windows NT отправляется настольной операционной системой. |
MSIE 8.0 | IE 8.0 (устройства не отправляют это, поэтому необходимо сделать более конкретным) |
MSIE 9.0 | IE 9.0 (устройства не отправляют это, поэтому не нужно делать это более конкретным) |
MSIE 10.0; Windows NT 6 | IE 10.0 для Windows XP и более новых версий настольной операционной системы устройства Windows Phone 8.0 (с предпочтениями для мобильных устройств) исключены, так как они отправляют User-Agent: Mozilla/5.0 (совместимо; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Операционная система Windows 8.1 для настольных компьютеров, разные платформы |
Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Операционная система Windows 8 для настольных компьютеров, разные платформы |
Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Операционная система Windows 7 для настольных компьютеров, разные платформы |
MSIPC | Клиент Майкрософт для защиты и контроля информации |
Клиент Windows Rights Management | Клиент Windows Rights Management |
Чтобы включить возврат к проверке подлинности на основе форм для агентов пользователей, отличных от упомянутых в строке WIASupportedUserAgents, задайте для флага WindowsIntegratedFallbackEnabled значение true.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Кроме того, убедитесь, что для интрасети включена проверка подлинности на основе форм.
Настройка WIA для Chrome
Вы можете добавить Chrome или другие агенты пользователей в конфигурацию AD FS, поддерживающую WIA. Это позволяет легко входить в приложения без необходимости вручную вводить учетные данные при доступе к ресурсам, защищенным AD FS. Выполните следующие действия, чтобы включить WIA в Chrome:
В конфигурации AD FS добавьте строку агента пользователя для Chrome на платформах под управлением Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Кроме того, для Chrome в Apple macOS добавьте следующую строку агента пользователя в конфигурацию AD FS:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Убедитесь, что строка агента пользователя для Chrome теперь задана в свойствах AD FS:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Примечание.
При выпуске новых браузеров и устройств рекомендуется примирить возможности этих агентов пользователей и обновить конфигурацию AD FS соответствующим образом, чтобы оптимизировать взаимодействие с проверкой подлинности пользователя при использовании указанных браузеров и устройств. В частности, рекомендуется повторно оценить параметр WIASupportedUserAgents в AD FS при добавлении нового типа устройства или браузера в матрицу поддержки WIA.