Mengonfigurasi autentikasi berbasis formulir intranet untuk perangkat yang tidak mendukung Autentikasi Terintegrasi Windows (WIA)
Secara default, Autentikasi Terintegrasi Windows (WIA) diaktifkan di Layanan Federasi Direktori Aktif (AD FS) di Windows Server untuk permintaan autentikasi yang terjadi dalam jaringan internal organisasi (intranet) untuk aplikasi apa pun yang menggunakan browser untuk autentikasinya. Misalnya, aplikasi dapat berbasis browser yang menggunakan protokol WS-Federation atau SAML dan aplikasi kaya yang menggunakan protokol OAuth. WIA memberi pengguna akhir masuk tanpa hambatan ke aplikasi tanpa harus memasukkan kredensial mereka secara manual. Namun, beberapa perangkat dan browser tidak mampu mendukung WIA dan akibatnya permintaan autentikasi dari perangkat ini gagal. Selain itu, pengalaman pada browser tertentu yang bernegosiasi ke NTLM tidak diinginkan. Pendekatan yang direkomendasikan adalah kembali ke autentikasi berbasis formulir untuk perangkat dan browser tersebut.
Layanan Federasi Direktori Aktif di Windows Server 2016 dan Windows Server 2012 R2 memberi administrator kemampuan untuk mengonfigurasi daftar agen pengguna yang mendukung fallback ke autentikasi berbasis formulir. Fallback dimungkinkan oleh dua konfigurasi:
- Properti WIASupportedUserAgentStrings dari
Set-ADFSPropertiescommandlet - Properti WindowsIntegratedFallbackEnabled dari
Set-AdfsGlobalAuthenticationPolicycommandlet
WIASupportedUserAgentStrings mendefinisikan agen pengguna yang mendukung WIA. Layanan Federasi Direktori Aktif menganalisis string agen pengguna saat melakukan login di browser atau kontrol browser. Jika komponen string agen pengguna tidak cocok dengan salah satu komponen string agen pengguna yang dikonfigurasi di properti WIASupportedUserAgentStrings , Layanan Federasi Direktori Aktif akan kembali menyediakan autentikasi berbasis formulir, asalkan bendera WindowsIntegratedFallbackEnabled diatur ke True.
Secara default, penginstalan LAYANAN Federasi Direktori Aktif baru memiliki serangkaian kecocokan string agen pengguna yang dibuat. Namun, ini mungkin kedaluarsa berdasarkan perubahan pada browser dan perangkat. Terutama, perangkat Windows memiliki string agen pengguna serupa dengan variasi kecil dalam token. Contoh Windows PowerShell berikut memberikan panduan terbaik untuk set perangkat saat ini yang ada di pasaran saat ini yang mendukung WIA yang mulus:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Perintah di atas akan memastikan bahwa Layanan Federasi Direktori Aktif hanya mencakup kasus penggunaan berikut untuk WIA:
| Agen Pengguna | Kasus penggunaan |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE di zona intranet. Fragmen "Windows NT" dikirim oleh sistem operasi desktop. |
| MSIE 8.0 | IE 8.0 (tidak ada perangkat yang mengirim ini, jadi perlu membuat lebih spesifik) |
| MSIE 9.0 | IE 9.0 (tidak ada perangkat yang mengirim ini, jadi tidak perlu membuat ini lebih spesifik) |
| MSIE 10.0; Windows NT 6 | IE 10.0 untuk Windows XP dan versi yang lebih baru dari sistemoperasi desktop Windows Telepon perangkat 8.0 (dengan preferensi diatur ke seluler) dikecualikan karena mereka mengirimUser-Agent: Mozilla/5.0 (kompatibel; MSIE 10.0; Windows Telepon 8.0; Trident/6.0; IEMobile/10.0; LENGAN; Sentuhan; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Sistem operasi desktop Windows 8.1, platform yang berbeda |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Sistem operasi desktop Windows 8, platform yang berbeda |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Sistem operasi desktop Windows 7, platform yang berbeda |
| MSIPC | Klien Perlindungan dan Kontrol Informasi Microsoft |
| Klien Manajemen Hak Windows | Klien Manajemen Hak Windows |
Untuk mengaktifkan fallback ke autentikasi berbasis formulir untuk agen pengguna selain yang disebutkan dalam string WIASupportedUserAgents, atur bendera WindowsIntegratedFallbackEnabled ke true
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Pastikan juga bahwa autentikasi berbasis formulir diaktifkan untuk intranet.
Mengonfigurasi WIA untuk Chrome
Anda dapat menambahkan Chrome atau agen pengguna lain ke konfigurasi Layanan Federasi Direktori Aktif yang mendukung WIA. Ini memungkinkan masuk tanpa hambatan ke aplikasi tanpa harus memasukkan kredensial secara manual saat Anda mengakses sumber daya yang dilindungi oleh Layanan Federasi Direktori Aktif. Ikuti langkah-langkah di bawah ini untuk mengaktifkan WIA di Chrome:
Dalam konfigurasi Layanan Federasi Direktori Aktif, tambahkan string agen pengguna untuk Chrome di platform berbasis Windows:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Dan demikian pula untuk Chrome di Apple macOS, tambahkan string agen pengguna berikut ke konfigurasi Layanan Federasi Direktori Aktif:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Konfirmasikan bahwa string agen pengguna untuk Chrome sekarang diatur di properti Layanan Federasi Direktori Aktif:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Catatan
Saat browser dan perangkat baru dirilis, disarankan agar Anda mendamaikan kemampuan agen pengguna tersebut dan memperbarui konfigurasi Layanan Federasi Direktori Aktif yang sesuai untuk mengoptimalkan pengalaman autentikasi pengguna saat menggunakan browser dan perangkat tersebut. Lebih khusus lagi, disarankan agar Anda mengevaluasi kembali pengaturan WIASupportedUserAgents di Layanan Federasi Direktori Aktif saat menambahkan perangkat atau jenis browser baru ke matriks dukungan Anda untuk WIA.