Freigeben über


Problembehandlung für die IDP-initiierte Anmeldung in AD FS

Sie können die Active Directory-Verbunddienste (AD FS)-Anmeldeseite verwenden, um zu überprüfen, ob die Authentifizierung funktioniert. Um diesen Test auszuführen, wechseln Sie zur Seite, und melden Sie sich an. Außerdem können Sie die Anmeldeseite verwenden, um zu überprüfen, ob alle vertrauenden SAML 2.0-Parteien aufgeführt sind.

Aktivieren der vom IdP initiierten Anmeldeseite

Standardmäßig ist in AD FS unter Windows 2016 die Anmeldeseite nicht aktiviert. Verwenden Sie den PowerShell-Befehl Set-AdfsProperties, um die Seite zu aktivieren. Verwenden Sie das folgende Verfahren, um die Seite zu aktivieren:

  1. Öffnen Sie Windows PowerShell.

  2. Geben Sie Get-AdfsProperties ein.

  3. Überprüfen Sie, ob die EnableIdpInitiatedSignonPage-Eigenschaft auf False festgelegt wurde.

    Screenshot: PowerShell-Ausgabe mit hervorgehobener, auf „false“ festgelegter Eigenschaft „EnableIdpInitiatedSignonPage“

  4. Geben Sie in PowerShell Set-AdfsProperties -EnableIdpInitiatedSignonPage $true ein.

  5. PowerShell stellt keine Bestätigung für den Set-AdfsProperties Befehl bereit. Um zu bestätigen, dass die EnableIdpInitatedSignonPage Eigenschaft auf True festgelegt ist, geben Sie den Get-AdfsProperties Befehl erneut ein, und überprüfen Sie den Wert für die Eigenschaft.

    Screenshot: PowerShell-Ausgabe mit hervorgehobener, auf „true“ festgelegter Eigenschaft „EnableIdpInitiatedSignonPage“

Testen der Authentifizierung

Verwenden Sie das folgende Verfahren, um die AD FS-Authentifizierung mit der vom Identitätsanbieter (IdP) initiierten Anmeldeseite zu testen.

  1. Öffnen Sie einen Webbrowser, und wechseln Sie zur IdP-Anmeldeseite. Die URL könnte wie folgt aussehen: https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Sie werden aufgefordert, sich anzumelden. Geben Sie Ihre Anmeldeinformationen ein.

    Screenshot der Anmeldeseite und des Dialogfelds, in dem Anmeldeinformationen aufgefordert werden.

Wenn der Vorgang erfolgreich ist, sind Sie angemeldet.

Testen der Authentifizierung mit nahtloser Anmeldung

Sie können die nahtlose Anmeldeerfahrung testen, indem Sie sicherstellen, dass die URL für Ihre AD FS-Server der lokalen Intranetzone Ihrer Internetoptionen hinzugefügt wird. Gehen Sie wie folgt vor:

  1. Wählen Sie auf einem Windows 10-Client "Start" aus, geben Sie Internetoptionen ein, und wählen Sie "Internetoptionen" aus.

  2. Wählen Sie die Registerkarte "Sicherheit" und dann "Lokale>" aus.

    Screenshot der Registerkarte

  3. Wählen Sie "Erweitert" aus.

  4. Geben Sie Ihre URL ein, und wählen Sie dann Hinzufügen>Schließen aus.

    Screenshot des Popupfelds für das lokale Intranet, in dem die URL zur Authentifizierung hinzugefügt werden soll.

  5. Wählen Sie OK aus. Wählen Sie dann OK aus, um die Internetoptionen zu schließen.

  6. Öffnen Sie einen Webbrowser, und wechseln Sie zur IdP-Anmeldeseite. Die URL könnte wie folgt aussehen: https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Wählen Sie Anmelden aus. Sie sollten sich automatisch anmelden und nicht zur Eingabe von Anmeldeinformationen aufgefordert werden.

    Screenshot der Anmeldeseite, die zeigt, dass der Benutzer nicht zur Eingabe von Anmeldeinformationen aufgefordert wurde.

Bekannte Probleme

Die Active Directory-Verbunddienste (AD FS)-Anmeldeseite kann nicht verwendet werden, um eine Anmeldung mit einer Anspruchsanbieter-Vertrauensstellung zu initiieren, die nur mit einem passiven WS-Verbund-Endpunkt konfiguriert ist.