Configurar los exploradores para usar la autenticación integrada de Windows (WIA) con AD FS
De forma predeterminada, la autenticación integrada de Windows (WIA) está habilitada en los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2 para las solicitudes de autenticación que tienen lugar dentro de la red interna de la organización (intranet) para cualquier aplicación que use un explorador para su autenticación.
AD FS 2016 incluye ahora una configuración predeterminada mejorada que permite al explorador Edge realizar WIA, aunque tampoco detecte (incorrectamente) Windows Phone:
=~Windows\s*NT.*Edg.*
Lo anterior implica que ya no es necesario configurar cadenas de agente de usuario individuales para admitir escenarios comunes de Edge, aunque se actualicen con bastante frecuencia.
Para otros exploradores, configure la propiedad de AD FS WiaSupportedUserAgents para agregar los valores necesarios en función de los exploradores que use. Puede usar los procedimientos siguientes.
Ver la configuración de WIASupportedUserAgent
WIASupportedUserAgents define los agentes de usuario compatibles con WIA. AD FS analiza la cadena del agente de usuario cuando se realizan inicios de sesión en un explorador o control de explorador.
Se puede ver la configuración actual en el ejemplo siguiente de PowerShell:
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
Cambiar la configuración de WIASupportedUserAgent
De forma predeterminada, una nueva instalación de AD FS tiene ya creado un conjunto de coincidencias de cadena de agente de usuario. Sin embargo, pueden estar obsoletas en función de los cambios que se hayan producido en los exploradores y dispositivos. En particular, los dispositivos Windows tienen cadenas de agente de usuario similares con pequeñas variaciones en los tokens. En el siguiente ejemplo de Windows PowerShell, se proporcionan las mejores instrucciones para el conjunto de dispositivos que hay actualmente en el mercado que admiten WIA sin problemas:
Si tiene AD FS en Windows Server 2012 R2 o versiones anteriores:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Si tiene AD FS en Windows Server 2016 R2 o versiones posteriores:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
El comando anterior confirma que AD FS solo cubre los siguientes casos de uso para WIA:
| Agentes de usuario | Casos de uso |
|---|---|
| MSIE 6.0 | IE 6.0. |
| MSIE 7.0; Windows NT | IE 7, IE en la zona de intranet. El sistema de operaciones de escritorio envía el fragmento "Windows NT". |
| MSIE 8.0 | IE 8.0 (ningún dispositivo envía esto, por lo que debe ser más específico). |
| MSIE 9.0 | IE 9.0 (ningún dispositivo envía esto, por lo que no es necesario que sea más específico). |
| MSIE 10.0; Windows NT 6 | IE 10.0 para Windows XP y versiones más recientes del sistema operativo de escritorio.Se excluyen los dispositivos Windows Phone 8.0 (con la preferencia establecida en "móvil").Agente de usuario: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920). |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Sistema operativo de escritorio Windows 8.1, diferentes plataformas. |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Sistema operativo de escritorio Windows 8, diferentes plataformas. |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Sistema operativo de escritorio Windows 7, diferentes plataformas. |
| Edg/ y Edge/ | Microsoft Edge (Chromium) para Windows Server 2012 R2 o versiones anteriores |
| =~Windows\s*NT.*Edg.* | Microsoft Edge (Chromium) para Windows Server 2016 o versiones posteriores |
| MSIPC | Cliente de Microsoft Information Protection and Control |
| Cliente de Windows Rights Management | Cliente de Windows Rights Management |