Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution pour corriger l’erreur Ad FS (Active Directory Federated Services) 2.0.
Numéro de base de connaissances d’origine : 3044977
Résumé
La plupart des problèmes AD FS 2.0 appartiennent à l’une des catégories principales suivantes. Cet article contient des instructions pas à pas pour résoudre les problèmes de règles de revendications.
- Problèmes de connectivité (kb 3044971)
- Problèmes de service ADFS (kb 3044973)
- Problèmes de certificat (kb 3044974)
- Problèmes d’authentification (kb 3044976)
Symptômes
Le jeton émis par le service AD FS n’a pas les revendications appropriées pour autoriser l’accès utilisateur à l’application.
Le serveur AD FS retourne le message d’erreur suivant :
Accès refusé
Si vous activez l’audit AD FS à l’aide de la rubrique Configuration des serveurs ADFS pour la résolution des problèmes , vous voyez l’erreur suivante consignée dans le journal des événements :
ID d’événement 325
Le service de fédération n’a pas pu autoriser l’émission de jetons pour l’appelant.
Résolution
Pour résoudre ce problème, procédez comme suit dans l’ordre donné. Ces étapes vous aideront à déterminer la cause du problème. Vérifiez si le problème est résolu après chaque étape.
Étape 1 : Obtenir des détails sur les revendications requises
- Déterminez les types de revendications requis dans le jeton SAML du propriétaire de la partie de confiance.
- Déterminez le fournisseur de revendications utilisé pour authentifier l’utilisateur.
Par exemple :
Un fournisseur de partie de confiance peut indiquer qu’il souhaite que les valeurs e-mail, nom et rôle de l’utilisateur soient fournies.
Si le fournisseur de revendications dans ce cas est « Active Directory », vous devez configurer une règle de revendication d’acceptation au niveau « Active Directory ».
Note
Si le fournisseur de revendications est un autre service de jeton de sécurité (STS), nous devons créer une règle de revendication directe ou de transformation pour accepter le magasin de valeurs de revendication dans les types de revendications définis localement qui doivent être transmis à la partie de confiance.
Créez une revendication directe pour ces revendications au niveau de la partie de confiance.
Étape 2 : Vérifier si AD FS refuse le jeton en fonction des règles d’autorisation
Pour ce faire, cliquez avec le bouton droit sur la partie de confiance, cliquez sur Modifier les règles de revendication, puis cliquez sur l’onglet Règles d’autorisation d’émission. Lorsque vous examinez les informations sur les règles, tenez compte des instructions suivantes :
- Toutes les règles de revendications d’autorisation sont traitées.
- Si aucune règle n’est définie, le serveur AD FS refuse à tous les utilisateurs.
- L’approche de liste verte peut également être utilisée au lieu d’utiliser une règle Autoriser tout. Dans ce cas, vous définissez un ensemble de règles qui spécifient les conditions dans lesquelles l’utilisateur doit être émis un jeton.
- Dans l’approche de liste de blocs, vous aurez besoin d’une règle Autoriser toutes les règles, ainsi qu’une ou plusieurs règles de refus basées sur une condition.
- Une règle de refus remplace toujours une règle d’autorisation. Cela signifie que si les conditions de revendication Autoriser et Refuser sont vraies pour l’utilisateur, la règle Refuser est suivie.
- Pour les règles d’autorisation basées sur d’autres valeurs de revendication pour autoriser ou refuser un jeton, ces revendications doivent déjà être envoyées dans le pipeline de revendications à partir du niveau d’approbation du fournisseur de revendications.
Étape 3 : Capturer une trace Fiddler
Capturez une trace de débogueur Web Fiddler pour capturer la communication avec le service AD FS et déterminer si un jeton SAML a été émis. Si un jeton SAML a été émis, décodez le jeton pour déterminer si le jeu correct de revendications est émis.
Pour plus d’informations sur ce processus, consultez AD FS 2.0 : Utilisation du débogueur Web Fiddler pour analyser une connexion passive WS-Federation.
Pour rechercher le jeton SAML émis par le service AD FS :
- Dans une trace fiddler, passez en revue la réponse d’AD FS pour déterminer où le service AD FS définit les cookies MSISAuth et MSISAuthenticated. Sinon, passez en revue la demande après que AD FS définit les cookies MSISAuth et MSISAuthenticated.
- Sélectionnez le jeton, puis démarrez TextWizard dans Fiddler. Utilisez URLDecode pour une réponse de protocole RSTR (WS-Fed) ou FromDeflatedSAML pour une réponse de protocole SAML 2.0.
Étape 4 : Activer l’audit ADFS et vérifier si le jeton a été émis ou refusé, ainsi que la liste des revendications en cours de traitement
Configurez les serveurs AD FS pour enregistrer l’audit des événements AD FS dans le journal de sécurité. Pour configurer le journal Sécurité Windows pour prendre en charge l’audit des événements AD FS, procédez comme suit :
- Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Stratégie de sécurité locale.
- Double-cliquez sur Stratégies locales, puis sur Stratégie d’audit.
- Dans le volet d’informations, double-cliquez sur Auditer l’accès à l’objet.
- Dans la page Propriétés de l’accès à l’objet Audit, sélectionnez Réussite ou Échec ou les deux, puis cliquez sur OK.
- Fermez le composant logiciel enfichable Paramètres de sécurité locaux.
- À l’invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée pour actualiser immédiatement la stratégie locale.
Vous pouvez également utiliser l’objet de stratégie de groupe suivant pour configurer le journal Sécurité Windows :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Audit de l’application générée - Réussite et échec configuration d’ADFS
Cela est utile dans un scénario dans lequel AD FS a refusé un jeton à l’utilisateur. Le processus d’audit AD FS signale l’événement et les revendications générées avant le refus du jeton. Cela vous aide à déterminer quelle revendication a provoqué l’application de la règle Refuser. Examinez le journal des événements de sécurité en particulier pour l’ID d’événement 299, 500, 501 et 325.
Étape 5 : Déterminer si vous avez besoin d’une revendication personnalisée
Si les exigences d’émission de revendication ne peuvent pas être remplies par les modèles de règle de revendication par défaut, vous devrez peut-être écrire une revendication personnalisée. Pour plus d’informations, consultez Présentation du langage de règle de revendication dans AD FS 2.0 et versions ultérieures.
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.