Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Som standard aktiveras Windows Integrated Authentication (WIA) i Active Directory Federation Services (AD FS) i Windows Server för autentiseringsbegäranden som sker i organisationens interna nätverk (intranät) för alla program som använder en webbläsare för autentisering. Till exempel kan program vara webbläsarbaserade som använder WS-Federation eller SAML-protokoll och omfattande program som använder OAuth-protokollet. WIA ger slutanvändarna sömlös inloggning till programmen utan att behöva ange sina autentiseringsuppgifter manuellt. Vissa enheter och webbläsare kan dock inte stödja WIA och därför misslyckas autentiseringsbegäranden från dessa enheter. Dessutom är upplevelsen i vissa webbläsare som förhandlar till NTLM inte önskvärd. Den rekommenderade metoden är att återgå till formulärbaserad autentisering för sådana enheter och webbläsare.
AD FS i Windows Server 2016 och Windows Server 2012 R2 ger administratörerna möjlighet att konfigurera listan över användaragenter som stöder återställning till formulärbaserad autentisering. Återställningen möjliggörs av två konfigurationer:
- Egenskapen WIASupportedUserAgentStrings för
Set-ADFSProperties-kommandoleten - Egenskapen WindowsIntegratedFallbackEnabled för cmdleten
Set-AdfsGlobalAuthenticationPolicy
WIASupportedUserAgentStrings definierar de användaragenter som stöder WIA. AD FS analyserar användaragentsträngen när du utför inloggningar i en webbläsare eller webbläsarkontroll. Om komponenten i användaragentsträngen inte matchar någon av komponenterna i användaragentsträngarna som har konfigurerats i WIASupportedUserAgentStrings egenskap, återgår AD FS till att tillhandahålla formulärbaserad autentisering, förutsatt att flaggan WindowsIntegratedFallbackEnabled är inställd på True.
Som standard har en ny AD FS-installation en uppsättning användaragentsträngsmatchningar skapade. Dessa kan dock vara inaktuella baserat på ändringar i webbläsare och enheter. I synnerhet har Windows-enheter liknande användaragentsträngar med vissa mindre variationer i sina token. Följande Windows PowerShell-exempel ger den bästa vägledningen för den aktuella uppsättningen enheter som finns på marknaden idag som stöder sömlös WIA:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Kommandot ovan ser till att AD FS endast omfattar följande användningsfall för WIA:
| Användaragenter | Användningsfall |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE i intranätzonen. Fragmentet "Windows NT" skickas av skrivbordsoperativsystemet. |
| MSIE 8.0 | IE 8.0 (inga enheter skickar detta, så behöver göra mer specifikt) |
| MSIE 9.0 | IE 9.0 (inga enheter skickar detta, så du behöver inte göra detta mer specifikt) |
| MSIE 10.0; Windows NT 6 | IE 10.0 för Windows XP och nyare versioner av stationära operativsystem, Windows Phone 8.0-enheter (med inställningen mobil) undantas eftersom de skickar User-Agent: Mozilla/5.0 (kompatibel; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Windows 8.1 skrivbordsoperativsystem, olika plattformar |
| Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Windows 8-skrivbordsoperativsystem, olika plattformar |
| Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Windows 7-skrivbordsoperativsystem, olika plattformar |
| MSIPC | Microsoft Information Protection och kontrollklient |
| Windows Rights Management-klient | Windows Rights Management-klient |
För att aktivera återställning till formulärbaserad autentisering för andra användaragenter än de som nämns i WIASupportedUserAgents-strängen anger du flaggan WindowsIntegratedFallbackEnabled till true
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Kontrollera också att den formulärbaserade autentiseringen är aktiverad för intranätet.
Konfigurera WIA för Chrome
Du kan lägga till Chrome eller andra användaragenter i AD FS-konfigurationen som stöder WIA. Detta möjliggör sömlös inloggning till program utan att behöva ange autentiseringsuppgifter manuellt när du får åtkomst till resurser som skyddas av AD FS. Följ stegen nedan för att aktivera WIA i Chrome:
I AD FS-konfiguration lägger du till en användaragentsträng för Chrome på Windows-baserade plattformar:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Och på samma sätt för Chrome på Apple macOS lägger du till följande användaragentsträng i AD FS-konfigurationen:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Bekräfta att användaragentsträngen för Chrome nu har angetts i AD FS-egenskaperna:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Anmärkning
När nya webbläsare och enheter släpps rekommenderar vi att du avstämer funktionerna i dessa användaragenter och uppdaterar AD FS-konfigurationen i enlighet med detta för att optimera användarens autentiseringsupplevelse när du använder nämnda webbläsare och enheter. Mer specifikt rekommenderar vi att du omvärderar inställningen WIASupportedUserAgents i AD FS när du lägger till en ny enhet eller webbläsartyp i din supportmatris för WIA.