Error de ADFS 2.0: Se deniega el acceso

Artículo
15/01/2025

En este artículo se proporciona una solución para corregir el error 2.0 de Active Directory Federated Services (AD FS).

Número de KB original: 3044977

Resumen

La mayoría de los problemas de AD FS 2.0 pertenecen a una de las siguientes categorías principales. Este artículo contiene instrucciones paso a paso para solucionar problemas de reglas de notificaciones.

Síntomas

El token emitido por el servicio de AD FS no tiene las notificaciones adecuadas para autorizar el acceso de usuario a la aplicación.
El servidor de AD FS devuelve el siguiente mensaje de error:

Acceso denegado
Si habilita la auditoría de AD FS mediante el tema Configuración de servidores ADFS para la solución de problemas , verá el siguiente error registrado en el registro de eventos:

Id. de evento 325
El servicio de federación no pudo autorizar la emisión de tokens para el autor de la llamada.

Solución

Para resolver este problema, siga estos pasos en el orden indicado. Estos pasos le ayudarán a determinar la causa del problema. Asegúrese de comprobar si el problema se resuelve después de cada paso.

Paso 1: Obtener detalles sobre las notificaciones necesarias

Determine qué tipos de notificación son necesarios en el token SAML del propietario del usuario de confianza.
Determine qué proveedor de notificaciones se usó para autenticar al usuario.

Por ejemplo:

Un proveedor de usuario de confianza puede indicar que quiere que se proporcionen los valores de correo electrónico, nombre y rol del usuario.
Si el proveedor de notificaciones en esta situación es "Active Directory", debe configurar una regla de notificación de aceptación en el nivel "Active Directory".

Nota

Si el proveedor de notificaciones es otro servicio de token de seguridad (STS), debemos crear una regla de notificación de paso a través o transformación para aceptar el almacén de valores de notificación en tipos de notificaciones definidos localmente que se van a pasar al usuario de confianza.
Cree una notificación de paso a través para estas notificaciones en el nivel de usuario de confianza.

Paso 2: Comprobar si AD FS está denegando el token en función de las reglas de autorización

Para ello, haga clic con el botón derecho en el usuario de confianza, haga clic en Editar reglas de notificación y, a continuación, haga clic en la pestaña Reglas de autorización de emisión. Al examinar la información de las reglas, tenga en cuenta las siguientes directrices:

Todas las reglas de notificaciones de autorización se procesan.
Si no se definen reglas, el servidor de AD FS deniega a todos los usuarios.
El enfoque de lista de permitidos también se puede usar en lugar de usar una regla Permitir todo. En esta situación, se define un conjunto de reglas que especifican las condiciones en las que se debe emitir un token al usuario.
En el enfoque de la lista de bloques, necesitará una regla permitir todas, junto con una o varias reglas de denegación basadas en una condición.
Una regla De denegación siempre invalida una regla Permitir. Esto significa que, si las condiciones de notificación Permitir y Denegar son verdaderas para el usuario, se seguirá la regla Denegar.
Para las reglas de autorización basadas en otros valores de notificación para permitir o denegar un token, esas notificaciones ya deben insertarse en la canalización de notificaciones desde el nivel de confianza del proveedor de notificaciones.

Paso 3: Capturar un seguimiento de Fiddler

Capture un seguimiento de Fiddler Web Debugger para capturar la comunicación con el servicio AD FS y determinar si se emitió un token SAML. Si se emitió un token SAML, descodifique el token para determinar si se emite el conjunto correcto de notificaciones.

Para obtener más información sobre este proceso, vea AD FS 2.0: Uso de Fiddler Web Debugger para analizar un inicio de sesión pasivo de WS-Federation.

Para buscar el token saml emitido por el servicio de AD FS:

En un seguimiento de fiddler, revise la respuesta de AD FS para determinar dónde está estableciendo el servicio de AD FS las cookies MSISAuth y MSISAuthenticated. O bien, revise la solicitud después de que AD FS establezca las cookies MSISAuth y MSISAuthenticated.
Seleccione el token y, a continuación, inicie TextWizard en Fiddler. Use URLDecode para una respuesta de protocolo RSTR (WS-Fed) o FromDeflatedSAML para una respuesta de protocolo SAML 2.0.

Paso 4: Habilitar la auditoría de ADFS y comprobar si el token se emitió o denegó, junto con la lista de notificaciones que se están procesando

Configure los servidores de AD FS para registrar la auditoría de eventos de AD FS en el registro de seguridad. Para configurar el registro de Seguridad de Windows para admitir la auditoría de eventos de AD FS, siga estos pasos:

Haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad local.
Haga doble clic en Directivas locales y, a continuación, haga clic en Directiva de auditoría.
En el panel de detalles, haga doble clic en Auditar acceso a objetos.
En la página Auditar propiedades de acceso a objetos, seleccione Correcto o Error o ambos y, a continuación, haga clic en Aceptar.
Cierre el complemento Configuración de seguridad local.
En un símbolo del sistema, escriba gpupdate /force y presione Entrar para actualizar inmediatamente la directiva local.

También puede usar el siguiente GPO para configurar el registro de Seguridad de Windows:

Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración avanzada de la directiva de auditoría\Directivas de auditoría\Acceso a objetos\Aplicación de auditoría generada: correcto y erróneo configurar ADFS

Esto resulta útil en un escenario en el que AD FS denegó un token al usuario. El proceso de auditoría de AD FS notificará el evento y las notificaciones que se generaron antes de que se deniegue el token. Esto le ayuda a determinar qué notificación provocó la aplicación de la regla Deny. Examine el registro de eventos de seguridad especialmente para el identificador de evento 299, 500, 501 y 325.

Paso 5: Determinar si necesita una notificación personalizada

Si los requisitos de emisión de notificaciones no se pueden cumplir con las plantillas de regla de notificación predeterminadas, es posible que tenga que escribir una notificación personalizada. Para obtener más información, vea Understanding Claim Rule Language in AD FS 2.0 & Higher.

Aviso de declinación de responsabilidades sobre la información de terceros

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Recursos adicionales

Documentación

Solución de problemas de AD FS - Windows Server

Describe cómo solucionar problemas de autenticación que pueden surgir para los usuarios federados en el identificador de Microsoft Entra u Office 365. Proporciona una lista completa de los síntomas y sus soluciones.
No se puede mostrar la página. - Windows Server

Describe que recibe un mensaje de error "Esta página no se puede mostrar" cuando intenta acceder a una aplicación en un sitio web que usa AD FS 2.0. Se proporciona una resolución.
Solución de problemas de SSO de ADFS - Windows Server

Presentar cómo solucionar problemas de SSO de ADFS.
Solución de problemas de los Servicios de federación de Active Directory (AD FS) con los eventos y el registro

Aprenda a usar el administrador y Tracelog para solucionar varios problemas de los Servicios de federación de Active Directory (AD FS).
El servicio ADFS 2.0 no se inicia - Windows Server

Proporciona los pasos de solución de problemas de configuración y inicio del servicio ADFS.
Se produjo un problema al acceder al error del sitio desde AD FS - Microsoft 365

Describe un problema en el que un usuario federado recibe un mensaje de error de Servicios de federación de Active Directory (AD FS) (AD FS) cuando el usuario intenta iniciar sesión en un servicio en la nube de Microsoft como Microsoft 365, Azure o Microsoft Intune.
Solucionar problemas de AD FS

Obtenga información sobre las estrategias y herramientas que puede usar para diagnosticar y solucionar diversos aspectos de AD FS.

Cursos

Módulo

Solución de problemas de autenticación y control de acceso en Microsoft Azure - Training

Microsoft Azure tiene un sofisticado sistema de autenticación y control de acceso para proporcionar alta seguridad. La autenticación de Microsoft Entra incluye autoservicio de restablecimiento de contraseña, autenticación multifactor, integración híbrida y autenticación sin contraseña. Redes AZ720 AZ-720 az-720

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

Compartir a través de