Condividi tramite

Come risolvere i problemi di connessione dell'endpoint AD FS quando gli utenti accedono a Microsoft 365, Intune o Azure

  • Si applica a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando gli utenti accedono a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Intune o Microsoft Azure usando un account utente federato, la connessione al servizio Active Directory Federation Services (AD FS) ha esito negativo solo quando gli utenti tentano di eseguire le operazioni seguenti:

  • Connettersi da una posizione Internet remota
  • Usare le connessioni di posta elettronica per accedere

Questa situazione causa anche l'esito negativo del test SSO eseguito da Remote Connectivity Analyzer.

Per altre informazioni su come eseguire Remote Connectivity Analyzer per testare l'autenticazione SSO in Microsoft 365, vedere gli articoli seguenti nella Microsoft Knowledge Base:

  • 2650717 Come usare Remote Connectivity Analyzer per risolvere i problemi di Single Sign-On per Microsoft 365, Azure o Intune
  • 2466333 gli utenti federati non possono connettersi a una cassetta postale di Exchange Online

Motivo

Questi errori possono verificarsi se il servizio AD FS non è esposto correttamente a Internet. In genere, il server proxy AD FS viene usato a questo scopo e i problemi con il server proxy AD FS causeranno questi sintomi. I problemi comuni includono:

  • Certificato SSL scaduto assegnato al server proxy AD FS

    Spesso, lo stesso certificato SSL viene usato per proteggere la comunicazione (HTTPS) sia per il servizio federativo AD FS che per il server proxy AD FS. Quando il certificato diventa scaduto e il certificato viene rinnovato o aggiornato nella farm del servizio federativo AD FS, il certificato SSL deve essere aggiornato anche in tutti i server proxy AD FS. Se il certificato SSL del server proxy AD FS non viene aggiornato in questo caso, le connessioni Internet al servizio AD FS potrebbero non riuscire, anche se il servizio federativo AD FS è integro.

  • Configurazione errata degli endpoint di autenticazione IIS

    Il ruolo del server proxy AD FS consiste nel ricevere comunicazioni Internet dirette ad AD FS e inoltrare tale comunicazione al servizio federativo AD FS. Pertanto, è importante che l'impostazione di autenticazione IIS del servizio federativo AD FS e del server proxy sia complementare. Quando le impostazioni di autenticazione IIS del server proxy AD FS non sono impostate per integrare le impostazioni di autenticazione IIS del servizio federativo AD FS, l'accesso potrebbe non riuscire o generare più richieste impreviste.

  • Perdita di fiducia tra il server proxy AD FS e il servizio federativo AD FS

    Il servizio proxy AD FS è progettato per essere installato in un computer non aggiunto a un dominio. Pertanto, la comunicazione tra il server proxy AD FS e il servizio federativo AD FS non può essere basata su un trust o credenziali di Active Directory. Al contrario, la comunicazione tra questi due ruoli del server viene stabilita usando un token emesso al server proxy AD FS dal servizio federativo AD FS e firmato dal certificato di firma del token AD FS. Quando l'attendibilità è scaduta o non è valida, il servizio proxy AD FS non può inoltrare le richieste AD FS e il trust deve essere ricompilato per ripristinare la funzionalità.

Soluzione

Per risolvere questo problema, usare uno dei metodi seguenti, in base alla situazione, in tutti i server proxy AD FS non funzionanti.

Metodo 1: Risolvere i problemi di certificato SSL di AD FS nel server AD FS

Per fare questo, segui questi passaggi:

  1. Risolvere i problemi relativi ai certificati SSL nel servizio federativo AD FS (non nel servizio proxy) usando l'articolo della Microsoft Knowledge Base seguente:

    2523494 Viene visualizzato un avviso di certificato da AD FS quando si tenta di accedere a Microsoft 365, Azure o Intune

  2. Se il certificato SSL del servizio federativo AD FS funziona correttamente, aggiornare il certificato SSL nel server proxy AD FS usando le funzioni di esportazione e importazione del certificato. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:
    179380 Come rimuovere, importare ed esportare certificati digitali

Metodo 2: Reimpostare le impostazioni di autenticazione IIS del server proxy AD FS per impostazione predefinita

A tale scopo, seguire i passaggi descritti in Risoluzione 1 dell'articolo della Microsoft Knowledge Base seguente per il server proxy AD FS:

2461628 un utente federato richiede ripetutamente le credenziali durante l'accesso a Microsoft 365, Azure o Intune

Metodo 3: Eseguire di nuovo la procedura guidata di configurazione del proxy AD FS

A tale scopo, ri-eseguire la Configurazione guidata del proxy del server federativo AD FS dall'interfaccia strumenti di amministrazione di tutti i server proxy AD FS interessati.

Annotazioni

È comune ricevere un avviso dal passaggio "Deploy browser sign-in Web site" (Distribuisci sito Web di accesso al browser) quando si esegue di nuovo l'installazione guidata. Non si tratta di un'indicazione che la procedura guidata non ha ricostruito la relazione di fiducia tra il server proxy AD FS e il servizio federativo AD FS.

Maggiori informazioni

Per altre info su come esporre il servizio AD FS a Internet tramite un server proxy AD FS, visitare il seguente sito Web Microsoft:

Pianificare e distribuire AD FS 2.0 per l'uso con Single Sign-On

Hai ancora bisogno di aiuto? Vai alla Comunità Microsoft.

  • Last updated on