Configurer les navigateurs pour utiliser l’authentification Windows intégrée avec AD FS
Par défaut, l’authentification intégrée Windows (WIA) est activée dans les Active Directory Federation Services (AD FS) dans Windows Server 2012 R2 pour les demandes d’authentification qui se produisent au sein du réseau interne (intranet) de l’organisation pour toute application qui utilise un navigateur pour son authentification.
AD FS 2016 dispose désormais d’un paramètre par défaut amélioré qui permet au navigateur Edge d’effectuer WIA tout en n’interceptant pas (de manière incorrecte) Windows Phone également :
=~Windows\s*NT.*Edg.*
Cela signifie que vous n’avez plus besoin de configurer des chaînes d’agent utilisateur individuelles pour prendre en charge les scénarios Edge courants, même s’ils sont mis à jour assez souvent.
Pour les autres navigateurs, configurez la propriété AD FS WiaSupportedUserAgents pour ajouter les valeurs requises en fonction des navigateurs que vous utilisez. Vous pouvez utiliser les procédures ci-dessous.
Afficher les paramètres WIASupportedUserAgent
Le WIASupportedUserAgents définit les agents utilisateur qui prennent en charge WIA. AD FS analyse la chaîne de l’agent utilisateur lors de l’exécution de connexions dans un navigateur ou un contrôle de navigateur.
Vous pouvez afficher les paramètres actuels à l’aide de l’exemple PowerShell suivant :
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
Modifier les paramètres WIASupportedUserAgent
Par défaut, une nouvelle installation AD FS a un ensemble de correspondances de chaîne d’agent utilisateur créées. Toutefois, ceux-ci peuvent être obsolètes en fonction des modifications apportées aux navigateurs et aux appareils. En particulier, les appareils Windows ont des chaînes d’agent utilisateur similaires avec des variations mineures dans les jetons. L’exemple de Windows PowerShell suivant prodigue les meilleurs conseils pour l’ensemble actuel d’appareils qui se trouvent sur le marché actuel qui prennent en charge une WIA harmonieuse :
Si vous avez AD FS sur Windows Server 2012 R2 ou version antérieure :
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Si vous avez AD FS sur Windows Server 2016 ou version ultérieure :
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
La commande ci-dessus garantit que AD FS englobe uniquement les cas d’usage suivants pour WIA :
| Agents utilisateurs | Cas d'utilisation |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0 ; Windows NT | IE 7, IE dans la zone intranet. Le fragment « Windows NT » est envoyé par le système d’exploitation de bureau. |
| MSIE 8.0 | IE 8.0 (aucun appareil ne l’envoie, il est donc nécessaire de rendre plus spécifique) |
| MSIE 9.0 | IE 9.0 (aucun appareil ne l’envoie, il n’est donc pas nécessaire de le rendre plus spécifique) |
| MSIE 10.0 ; Windows NT 6 | IE 10.0 pour Windows XP et les versions plus récentes du système d’exploitation de bureau pour les appareils Windows Phone 8.0 (avec préférence définie sur mobile) sont exclus, car ils envoientUser-Agent : Mozilla/5.0 (compatible ; MSIE 10.0 ; Windows Phone 8.0 ; Trident/6.0 ; IEMobile/10.0 ; ARM ; Toucher ; NOKIA ; Lumia 920) |
| Windows NT 6.3 ; Trident/7.0Windows NT 6.3 ; Win64 ; x64; Trident/7.0Windows NT 6.3 ; WOW64 ; Trident/7.0 | système d’exploitation de bureau Windows 8.1, différentes plateformes |
| Windows NT 6.2 ; Trident/7.0Windows NT 6.2 ; Win64 ; x64; Trident/7.0Windows NT 6.2 ; WOW64 ; Trident/7.0 | système d’exploitation de bureau Windows 8, différentes plateformes |
| Windows NT 6.1 ; Trident/7.0Windows NT 6.1 ; Win64 ; x64; Trident/7.0Windows NT 6.1 ; WOW64 ; Trident/7.0 | Système d’exploitation de bureau Windows 7, différentes plateformes |
| Edg/ et Edge/ | Microsoft Edge (Chromium) pour Windows Server 2012 R2 ou version antérieure |
| =~Windows\s*NT.*Edg.* | Microsoft Edge (Chromium) pour Windows Server 2016 ou version ultérieure |
| MSIPC | Protection des données Microsoft et client de contrôle |
| Client de gestion des droits Windows | Client de gestion des droits Windows |