Compartir vía


Configuración de la autenticación basada en formularios de intranet para dispositivos que no admiten la autenticación integrada de Windows (WIA)

De forma predeterminada, la autenticación integrada de Windows (WIA) está habilitada en los Servicios de federación de Active Directory (AD FS) en Windows Server para las solicitudes de autenticación que tienen lugar dentro de la red interna de la organización (intranet) para cualquier aplicación que use un explorador para su autenticación. Por ejemplo, las aplicaciones pueden estar basadas en explorador, que usan los protocolos WS-Federation o SAML, o ser aplicaciones enriquecidas, que usan el protocolo OAuth. WIA proporciona a los usuarios finales un inicio de sesión fluido en las aplicaciones sin tener que proporcionar credenciales manualmente. Sin embargo, algunos dispositivos y exploradores no admiten WIA y, como resultado, se produce un error en las solicitudes de autenticación que proceden de estos dispositivos. Además, la experiencia en determinados exploradores que negocian con NTLM no es aconsejable. El enfoque recomendado es recurrir a la autenticación basada en formularios para estos dispositivos y exploradores.

AD FS en Windows Server 2016 y Windows Server 2012 R2 permite a los administradores configurar la lista de agentes de usuario que admiten la autenticación basada en formularios. Esta alternativa es posible configurando dos elementos:

  • La propiedad WIASupportedUserAgentStrings del commandlet Set-ADFSProperties.
  • La propiedad WindowsIntegratedFallbackEnabled del commandlet Set-AdfsGlobalAuthenticationPolicy.

WIASupportedUserAgentStrings define los agentes de usuario que admiten WIA. AD FS analiza la cadena del agente de usuario cuando se realizan inicios de sesión en un explorador o control de explorador. Si el componente de la cadena del agente de usuario no coincide con ninguno de los componentes de las cadenas de agente de usuario configuradas en la propiedad WIASupportedUserAgentStrings, AD FS proporciona la autenticación basada en formularios, siempre que la marca WindowsIntegratedFallbackEnabled esté establecida en True.

De forma predeterminada, una nueva instalación de AD FS tiene ya creado un conjunto de coincidencias de cadena de agente de usuario. Sin embargo, pueden estar obsoletas en función de los cambios que se hayan producido en los exploradores y dispositivos. En particular, los dispositivos Windows tienen cadenas de agente de usuario similares con pequeñas variaciones en los tokens. En el siguiente ejemplo de Windows PowerShell, se proporcionan las mejores instrucciones para el conjunto de dispositivos que hay actualmente en el mercado que admiten WIA sin problemas:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")

El comando anterior confirma que AD FS solo cubre los siguientes casos de uso para WIA:

Agentes de usuario Casos de uso
MSIE 6.0 IE 6.0.
MSIE 7.0; Windows NT IE 7, IE en la zona de intranet. El sistema de operaciones de escritorio envía el fragmento "Windows NT".
MSIE 8.0 IE 8.0 (ningún dispositivo envía esto, por lo que debe ser más específico).
MSIE 9.0 IE 9.0 (ningún dispositivo envía esto, por lo que no es necesario que sea más específico).
MSIE 10.0; Windows NT 6 IE 10.0 para Windows XP y versiones más recientes del sistema operativo de escritorio.

Se excluyen los dispositivos Windows Phone 8.0 (con la preferencia establecida en "móvil").

Agente de usuario: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920).
Windows NT 6.3; Trident/7.0

Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; WOW64; Trident/7.0
Sistema operativo de escritorio Windows 8.1, diferentes plataformas.
Windows NT 6.2; Trident/7.0

Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; WOW64; Trident/7.0
Sistema operativo de escritorio Windows 8, diferentes plataformas.
Windows NT 6.1; Trident/7.0

Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; WOW64; Trident/7.0
Sistema operativo de escritorio Windows 7, diferentes plataformas.
MSIPC Cliente de Microsoft Information Protection and Control
Cliente de Windows Rights Management Cliente de Windows Rights Management

Para habilitar la reversión a la autenticación basada en formularios para agentes de usuario distintos de los mencionados en la cadena WIASupportedUserAgents, establezca la marca WindowsIntegratedFallbackEnabled en true.

Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true

Asegúrese también de que la autenticación basada en formularios esté habilitada para la intranet.

Configuración de WIA para Chrome

Puede agregar Chrome u otros agentes de usuario a la configuración de AD FS que admita WIA. Esto permite iniciar sesión sin problemas en las aplicaciones sin tener que escribir manualmente las credenciales al acceder a los recursos protegidos por AD FS. Siga los pasos que se indican a continuación para habilitar WIA en Chrome:

En la configuración de AD FS, agregue una cadena de agente de usuario para Chrome en las plataformas basadas en Windows:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"

De forma similar para Chrome en Apple macOS, agregue la siguiente cadena de agente de usuario a la configuración de AD FS:

Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"

Confirme que la cadena del agente de usuario para Chrome está establecida ahora en las propiedades de AD FS:

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

configure auth

Nota:

A medida que se publican nuevos exploradores y dispositivos, se recomienda conciliar la funcionalidad de esos agentes de usuario y actualizar la configuración de AD FS en consecuencia para optimizar la experiencia de autenticación del usuario cuando usa ese explorador y esos dispositivos. Más concretamente, se recomienda volver a evaluar la configuración de WIASupportedUserAgents en AD FS cuando se agrega un nuevo tipo de dispositivo o explorador a la matriz de compatibilidad para WIA.