Résoudre les problèmes de connexion lancée par le fournisseur d’identité (Idp) aux services de fédération Active Directory

  • Article

Vous pouvez utiliser la page de connexion aux services de fédération Active Directory (AD FS) pour vérifier si l’authentification fonctionne. Pour effectuer ce test, il suffit d’accéder à la page et de se connecter. Vous pouvez également utiliser la page de connexion pour vérifier que toutes les parties de confiance SAML 2.0 sont listées.

Activer la page de connexion lancée par Idp

Par défaut, la page de connexion à AD FS dans Windows 2016 n’est pas activée. Pour activer la page, vous pouvez utiliser la commande PowerShell Set-AdfsProperties. Utilisez la procédure suivante pour activer la page :

  1. Ouvrez Windows PowerShell.

  2. Entrez Get-AdfsProperties et appuyez sur Entrée.

  3. Vérifiez que la propriété EnableIdpInitiatedSignonPage a la valeur false.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. Dans PowerShell, entrez Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.

  5. PowerShell ne fournit pas de confirmation pour la commande Set-AdfsProperties. Pour confirmer que la propriété EnableIdpInitatedSignonPage a la valeur true, entrez à nouveau la commande Get-AdfsProperties et vérifiez la valeur de la propriété.

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Tester l'authentification

Utilisez la procédure suivante pour tester l’authentification AD FS avec la page de connexion lancée par Idp.

  1. Ouvrez un navigateur web, puis accédez à la page de connexion Idp. Votre URL peut ressembler à celle-ci : https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Vous devez être invité à vous connecter. Entrez vos informations d’identification.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Si le processus réussit, vous êtes connecté.

Tester l’authentification avec une connexion transparente

Vous pouvez tester l’expérience de connexion transparente en vérifiant que l’URL de vos serveurs AD FS est ajoutée à la zone intranet locale de vos options Internet. Suivez la procédure suivante :

  1. Sur un client Windows 10, sélectionnez Démarrer, entrez options internet, puis sélectionnez Options Internet.

  2. Sélectionnez l’onglet Sécurité, sélectionnez Intranet local, puis sélectionnez Sites.

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Sélectionnez Avancé.

  4. Entrez votre URL, puis sélectionnez Ajouter. Sélectionnez Fermer.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Sélectionnez OK. Sélectionnez ensuite OK pour fermer les options Internet.

  6. Ouvrez un navigateur web, puis accédez à la page de connexion Idp. Votre URL peut ressembler à celle-ci : https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Sélectionnez le bouton Se connecter. Vous devriez vous connecter automatiquement et ne pas être invité à fournir des informations d’identification.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Problèmes connus

La page d’authentification AD FS ne peut pas être utilisée pour lancer une connexion avec une approbation de fournisseur de revendications configurée uniquement avec un point de terminaison passif WS-Federation. Inscrivez une partie de confiance telle que ClaimsXRay pour vérifier qu’une approbation de fournisseur de revendications WS-Federation fonctionne comme prévu.

Étapes suivantes