Configurare i browser per l'uso dell'autenticazione integrata di Windows con AD FS
Per impostazione predefinita, l'autenticazione integrata Windows (WIA) sia attivato in Active Directory Federation Services (ADFS) in Windows Server 2012 R2 per le richieste di autenticazione che si verificano nella rete interna dell'organizzazione (intranet) per qualsiasi applicazione che utilizza un browser per l'autenticazione.
AD FS 2016 ha ora un'impostazione predefinita migliorata che consente al browser Edge di eseguire WIA anche senza rilevare correttamente Windows Phone:
=~Windows\s*NT.*Edg.*
Ciò significa che non è più necessario configurare singole stringhe agente utente per supportare scenari edge comuni, anche se vengono aggiornati abbastanza spesso.
Per altri browser, configurare la proprietà AD FS WiaSupportedUserAgents per aggiungere i valori necessari in base ai browser in uso. È possibile utilizzare le procedure riportate di seguito.
Visualizzare le impostazioni WIASupportedUserAgent
WIASupportedUserAgents definisce gli agenti utente che supportano l'Autenticazione integrata di Windows. ADFS consente di analizzare la stringa agente utente durante l'esecuzione di account di accesso in un browser o un controllo browser.
È possibile visualizzare le impostazioni correnti usando l'esempio di PowerShell seguente:
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
Modificare le impostazioni WIASupportedUserAgent
Per impostazione predefinita, una nuova installazione di ADFS è un insieme di corrispondenze di stringa agente utente creato. Tuttavia, le possono essere aggiornate in base alle modifiche apportate al browser e dispositivi. In particolare, i dispositivi Windows hanno stringhe agente utente simili con lievi variazioni nei token. Nell'esempio seguente di Windows PowerShell fornisce le migliori indicazioni per il set corrente di dispositivi presenti sul mercato che supportano WIA trasparente:
Se si dispone di AD FS in Windows Server 2012 R2 o versioni precedenti:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Se si dispone di AD FS in Windows Server 2016 o versione successiva:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
Il comando precedente garantisce che ADFS riguarda solo i seguenti casi di utilizzo per WIA:
| Agenti utente | Casi d'uso |
|---|---|
| MSIE 6.0 | INTERNET EXPLORER 6.0 |
| MSIE 7.0; Windows NT | Internet Explorer 7, Internet Explorer nell'area intranet. Il frammento "Windows NT" viene inviato dal sistema operativo desktop. |
| MSIE 8.0 | Internet Explorer 8.0 (i dispositivi non inviare questa, pertanto è necessario rendere più specifica) |
| MSIE 9.0 | Internet Explorer 9.0 (i dispositivi non inviano, non è necessario rendere più specifico) |
| MSIE 10.0; Windows NT 6 | Internet Explorer 10.0 per Windows XP e versioni più recenti del sistema operativo desktopDispositivi Windows Phone 8.0 (con preferenza impostata su mobile) vengono esclusi perché invianoUser-Agent: Mozilla/5.0 (compatibile; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; BRACCIO; Tocco; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Sistema operativo desktop Windows 8.1, piattaforme diverse |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Sistema operativo desktop Windows 8, piattaforme diverse |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Sistema operativo Windows 7 Desktop, piattaforme diverse |
| Edg/ e Edge/ | Microsoft Edge (Chromium) per Windows Server 2012 R2 o versioni precedenti |
| =~Windows\s*NT.*Edg.* | Microsoft Edge (Chromium) per Windows Server 2016 o versione successiva |
| MSIPC | Protezione delle informazioni di Microsoft e Client di controllo |
| Client Windows Rights Management | Client Windows Rights Management |