Compartir a través de


Configuración de la autenticación basada en formularios de intranet para dispositivos que no admiten la autenticación integrada de Windows (WIA)

De forma predeterminada, la autenticación integrada de Windows (WIA) está habilitada en servicios de federación de Active Directory (AD FS) en Windows Server para las solicitudes de autenticación que se producen dentro de la red interna (intranet) de la organización para cualquier aplicación que use un explorador para su autenticación. Por ejemplo, las aplicaciones pueden ser basadas en navegador que usan protocolos WS-Federation o SAML y aplicaciones enriquecidas que usan el protocolo OAuth. WIA proporciona a los usuarios finales el inicio de sesión sin problemas en las aplicaciones sin tener que escribir manualmente sus credenciales. Sin embargo, algunos dispositivos y exploradores no son capaces de admitir WIA y, como resultado, se producen errores en las solicitudes de autenticación de estos dispositivos. Además, la experiencia con ciertos navegadores que negocian con NTLM no es deseable. El enfoque recomendado es revertir a la autenticación basada en formularios para estos dispositivos y exploradores.

AD FS en Windows Server 2016 y Windows Server 2012 R2 proporciona a los administradores la capacidad de configurar la lista de agentes de usuario que admiten la reserva a la autenticación basada en formularios. El mecanismo de respaldo es posible mediante dos configuraciones:

  • La propiedad WIASupportedUserAgentStrings del commandlet Set-ADFSProperties
  • La propiedad WindowsIntegratedFallbackEnabled del commandlet Set-AdfsGlobalAuthenticationPolicy

WIASupportedUserAgentStrings define los agentes de usuario que admiten WIA. AD FS analiza la cadena del agente de usuario cuando se realizan inicios de sesión en un explorador o control de explorador. Si el componente de la cadena del agente de usuario no coincide con ninguno de los componentes de las cadenas del agente de usuario configuradas en la propiedad WIASupportedUserAgentStrings , AD FS volverá a proporcionar autenticación basada en formularios, siempre que la marca WindowsIntegratedFallbackEnabled esté establecida en True.

De forma predeterminada, una nueva instalación de AD FS tiene creado un conjunto de coincidencias de cadena de agente de usuario. Sin embargo, estos pueden estar obsoletos en función de los cambios en los exploradores y dispositivos. En particular, los dispositivos Windows tienen cadenas de agente de usuario similares con variaciones menores en los tokens. En el siguiente ejemplo de Windows PowerShell se proporcionan las mejores instrucciones para el conjunto actual de dispositivos que están en el mercado hoy en día que admiten WIA sin problemas:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")

El comando anterior garantizará que AD FS solo cubre los siguientes casos de uso para WIA:

Agentes de usuario Casos de uso
MSIE 6.0 IE 6.0
MSIE 7.0; Windows NT IE 7, IE en la zona de intranet. El sistema de operaciones de escritorio envía el fragmento "Windows NT".
MSIE 8.0 IE 8.0 (ningún dispositivo envía esto, por lo que es necesario que sea más específico)
MSIE 9.0 IE 9.0 (ningún dispositivo envía esto, por lo que no es necesario que esto sea más específico)
MSIE 10.0; Windows NT 6 IE 10.0 para Windows XP y versiones más recientes de sistemas operativos de escritorio excluye dispositivos con Windows Phone 8.0 (con preferencia establecida en móvil) porque envían User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920)
Windows NT 6.3; Trident/7.0

Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; GUAU64; Tridente/7.0
Sistema operativo de escritorio Windows 8.1, distintas plataformas
Windows NT 6.2; Trident/7.0

Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; GUAU64; Tridente/7.0
Sistema operativo de escritorio windows 8, diferentes plataformas
Windows NT 6.1; Trident/7.0

Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; GUAU64; Tridente/7.0
Sistema operativo de escritorio windows 7, distintas plataformas
MSIPC (en inglés) Cliente de Microsoft Information Protection and Control
Cliente de Windows Rights Management Cliente de Windows Rights Management

Para habilitar la reversión a la autenticación basada en formularios para agentes de usuario distintos de los mencionados en la cadena WIASupportedUserAgents, establezca la marca WindowsIntegratedFallbackEnabled en true.

Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true

Asegúrese también de que la autenticación basada en formularios esté habilitada para la intranet.

Configuración de WIA para Chrome

Puede agregar Chrome u otros agentes de usuario a la configuración de AD FS que admita WIA. Esto permite iniciar sesión sin problemas en las aplicaciones sin tener que escribir manualmente las credenciales al acceder a los recursos protegidos por AD FS. Siga los pasos que se indican a continuación para habilitar WIA en Chrome:

En la configuración de AD FS, agregue una cadena de agente de usuario para Chrome en plataformas basadas en Windows:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"

Y de forma similar para Chrome en Apple macOS, agregue la siguiente cadena de agente de usuario a la configuración de AD FS:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"

Confirme que la cadena del agente de usuario para Chrome está establecida ahora en las propiedades de AD FS:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

configurar la autenticación

Nota:

A medida que se publican nuevos exploradores y dispositivos, se recomienda conciliar las funcionalidades de esos agentes de usuario y actualizar la configuración de AD FS en consecuencia para optimizar la experiencia de autenticación del usuario al usar dicho explorador y dispositivos. En concreto, se recomienda volver a evaluar la configuración WIASupportedUserAgents en AD FS al agregar un nuevo tipo de dispositivo o explorador a la matriz de compatibilidad de WIA.