Domande frequenti su AD FS

Questo articolo fornisce risposte alle domande frequenti su Active Directory Federation Services (AD FS). È suddivisa in sezioni basate sul tipo di domanda.

Distribuzione

Come è possibile eseguire l'aggiornamento o la migrazione da versioni precedenti di AD FS?

È possibile aggiornare/eseguire la migrazione di AD FS completando i passaggi descritti in uno degli articoli collegati seguenti:

• Da Windows Server 2012 R2 AD FS a Windows Server 2016 AD FS o versione successiva. Il processo è lo stesso se si esegue l'aggiornamento da Windows Server 2016 AD FS a Windows Server 2019 AD FS.
  • Aggiornamento ad AD FS in Windows Server 2016 tramite un database WID
  • Aggiornamento ad AD FS in Windows Server 2016 tramite un database SQL
• Da Windows Server 2012 AD FS a Windows Server 2012 R2 AD FS:
  • Eseguire la migrazione ad AD FS in Windows Server 2012 R2
• DA AD FS 2.0 a Windows Server 2012 AD FS:
  • Eseguire la migrazione ad AD FS in Windows Server 2012
• AD FS 1. da x ad AD FS 2.0:
  • Eseguire l'aggiornamento da AD FS 1. da x ad AD FS 2.0

Se è necessario eseguire l'aggiornamento da AD FS 2.0 o 2.1 (Windows Server 2008 R2 o Windows Server 2012), usare gli script predefiniti disponibili in C:\Windows\ADFS.

Perché l'installazione di AD FS richiede un riavvio del server?

Il supporto HTTP/2 è stato aggiunto in Windows Server 2016, ma HTTP/2 non può essere usato per l'autenticazione del certificato client. Molti scenari di AD FS usano l'autenticazione del certificato client. E molti client non supportano la ripetizione dei tentativi tramite HTTP/1.1. La configurazione della farm AD FS riconfigura quindi le impostazioni HTTP del server locale in HTTP/1.1. Questa riconfigurazione richiede un riavvio del server.

È possibile usare i server Proxy applicazione Web Windows Server 2016 per pubblicare la farm AD FS in Internet senza aggiornare la farm AD FS back-end?

Questa configurazione è supportata, ma non sono supportate nuove funzionalità di AD FS 2016. Questa configurazione deve essere temporanea durante la migrazione da AD FS 2012 R2 ad AD FS 2016. Non deve essere usato per lunghi periodi di tempo.

È possibile distribuire AD FS per Office 365 senza pubblicare un proxy in Office 365?

Sì, ma come effetto collaterale:

• Sarà necessario gestire manualmente gli aggiornamenti dei certificati di firma dei token perché Microsoft Entra ID non sarà in grado di accedere ai metadati della federazione. Per altre informazioni sull'aggiornamento manuale dei certificati di firma dei token, vedere Rinnovare i certificati federativi per Office 365 e Microsoft Entra ID.
• Non sarà possibile usare flussi di autenticazione legacy, ad esempio il flusso di autenticazione proxy ExO.

Quali sono i requisiti di bilanciamento del carico per i server AD FS e Proxy applicazione Web?

AD FS è un sistema senza stato, quindi il bilanciamento del carico è piuttosto semplice per gli accessi. Ecco alcuni consigli chiave per i sistemi di bilanciamento del carico:

• I servizi di bilanciamento del carico non devono essere configurati con affinità IP. L'affinità IP potrebbe comportare un carico eccessivo su un subset dei server in determinati scenari di Exchange Online.
• I servizi di bilanciamento del carico non devono terminare le connessioni HTTPS e avviare una nuova connessione al server AD FS.
• I servizi di bilanciamento del carico devono assicurarsi che l'indirizzo IP di connessione debba essere convertito come INDIRIZZO IP di origine nel pacchetto HTTP quando viene inviato ad AD FS. Se un servizio di bilanciamento del carico non può inviare l'INDIRIZZO IP di origine nel pacchetto HTTP, il servizio di bilanciamento del carico deve aggiungere l'indirizzo IP all'intestazione X-Forwarded-For. Questo passaggio è necessario per la corretta gestione di determinate funzionalità correlate all'IP( ad esempio IP vietato e blocco intelligente Extranet). Se questa configurazione non è implementata correttamente, la sicurezza potrebbe essere ridotta.
• I servizi di bilanciamento del carico devono supportare SNI. In caso contrario, assicurarsi che AD FS sia configurato per creare associazioni HTTPS per gestire i client che non supportano SNI.
• I servizi di bilanciamento del carico devono usare l'endpoint del probe di integrità HTTP di AD FS per rilevare se i server AD FS o Proxy applicazione Web sono in esecuzione. Deve escluderli se 200 OK non viene restituito.

Quali configurazioni multiforesta supporta AD FS?

AD FS supporta più configurazioni multiforesta. Si basa sulla rete trust di Active Directory Domain Services sottostante per autenticare gli utenti in più aree di autenticazione attendibili. È consigliabile impostare trust tra foreste bidirezionali perché sono più facili da configurare, in modo da garantire il corretto funzionamento del sistema di attendibilità.

Inoltre:

• Se si dispone di un trust tra foreste unidirezionale, ad esempio una foresta perimetrale (nota anche come rete perimetrale) che contiene identità partner, è consigliabile distribuire AD FS nella foresta aziendale. Considerare la foresta di rete perimetrale come un altro trust del provider di attestazioni locale connesso tramite LDAP. In questo caso, l'autenticazione integrata di Windows non funzionerà per gli utenti della foresta di rete perimetrale. Dovranno usare l'autenticazione password perché è l'unico meccanismo supportato per LDAP.

  Se non è possibile usare questa opzione, è necessario configurare un altro server AD FS nella foresta di rete perimetrale. Aggiungerlo come attendibilità del provider di attestazioni nel server AD FS nella foresta aziendale. Gli utenti dovranno eseguire l'individuazione dell'area di autenticazione principale, ma l'autenticazione integrata di Windows e l'autenticazione della password funzioneranno. Apportare le modifiche appropriate nelle regole di rilascio in AD FS nella foresta di rete perimetrale perché AD FS nella foresta aziendale non sarà in grado di ottenere altre informazioni sugli utenti dalla foresta di rete perimetrale.

• I trust a livello di dominio sono supportati e possono funzionare. È tuttavia consigliabile passare a un modello di trust a livello di foresta. È anche necessario assicurarsi che il routing UPN e la risoluzione dei nomi NetBIOS funzionino correttamente.

Annotazioni

Se si usa l'autenticazione elettiva con una configurazione trust bidirezionale, assicurarsi che all'utente chiamante venga concessa l'autorizzazione Allowed to Authenticate per l'account del servizio di destinazione.

AD FS Extranet Smart Lockout supporta IPv6?

Sì, gli indirizzi IPv6 vengono considerati per posizioni familiari e sconosciute.

Progettazione

Quali provider di autenticazione a più fattori di terze parti sono disponibili per AD FS?

AD FS fornisce un meccanismo estendibile per l'integrazione di provider di autenticazione a più fattori di terze parti. Non esiste un programma di certificazione impostato per questo. Si presuppone che il fornitore abbia eseguito le convalide necessarie prima del rilascio.

L'elenco dei fornitori che hanno informato Microsoft è disponibile qui: Provider di autenticazione a più fattori per AD FS. Potrebbero essere disponibili provider che non sappiamo. L'elenco verrà aggiornato man mano che ne verranno individuati di nuovi.

I proxy di terze parti sono supportati con AD FS?

Sì, i proxy di terze parti possono essere posizionati davanti ad AD FS, ma qualsiasi proxy di terze parti deve supportare il protocolloMS-ADFSPIP da usare al posto del proxy applicazione Web.

Attualmente sono a conoscenza dei provider di terze parti seguenti. Potrebbero essere disponibili provider che non sappiamo. Questo elenco verrà aggiornato man mano che ne verranno individuati di nuovi.

• F5 Access Policy Manager
• Citrix Application Delivery Controller (ADC)

Dov'è il foglio di calcolo delle dimensioni della capacità per AD FS 2016?

È possibile scaricare la versione di AD FS 2016 del foglio di calcolo. È anche possibile usare questo foglio di calcolo per AD FS in Windows Server 2012 R2.

Come è possibile verificare che i server AD FS e Proxy applicazione Web supportino i requisiti ATP di Apple?

Apple ha rilasciato un set di requisiti denominati App Transport Security (ATS) che potrebbero influire sulle chiamate da app iOS che eseguono l'autenticazione ad AD FS. È possibile assicurarsi che i server AD FS e Proxy applicazione Web siano conformi assicurandosi che supportino i requisiti per la connessione tramite ATS. In particolare, è necessario verificare che:

• I server AD FS e Proxy applicazione Web supportano TLS 1.2.
• La suite di crittografia negoziata della connessione TLS supporterà il segreto d'inoltro perfetto.

Per informazioni sull'abilitazione e la disabilitazione di SSL 2.0 e 3.0 e TLS 1.0, 1.1 e 1.2, vedere Gestire i protocolli SSL in AD FS.

Per assicurarsi che i server AD FS e Proxy applicazione Web negoziino solo pacchetti di crittografia TLS che supportano ATP, è possibile disabilitare tutte le suite di crittografia non incluse nell'elenco di pacchetti di crittografia conformi ad ATP. Per disabilitarli, usare i cmdlet di Windows TLS PowerShell.

Sviluppatore

Quando AD FS genera un id_token per un utente autenticato in Active Directory, come viene generata l'attestazione "sub" nel id_token?

Il valore dell'attestazione "sub" è l'hash dell'ID client e il valore dell'attestazione di ancoraggio.

Quali sono le durate del token di aggiornamento e il token di accesso quando l'utente accede tramite un trust del provider di attestazioni remoto su WS-Fed/SAML-P?

La durata del token di aggiornamento sarà la durata del token ottenuto da AD FS dall'attendibilità del provider di attestazioni remote. La durata del token di accesso sarà la durata del token della relying party per cui viene emesso il token di accesso.

È necessario restituire ambiti di profilo e di posta elettronica oltre all'ambito openid. È possibile ottenere altre informazioni usando gli ambiti? Come farlo in AD FS?

È possibile usare un id_token personalizzato per aggiungere informazioni pertinenti nel id_token stesso. Per altre informazioni, vedere Personalizzare le attestazioni da generare in id_token.

Come si eseguono BLOB JSON nei token JWT?

Per questo scenario in AD FS 2016 sono stati aggiunti uno speciale ValueType (http://www.w3.org/2001/XMLSchema#json) e un carattere di escape (\x22). Usare gli esempi seguenti per la regola di rilascio e per l'output finale del token di accesso.

Regola di rilascio di esempio:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Attestazione rilasciata nel token di accesso:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

È possibile passare un valore della risorsa come parte del valore di ambito, allo stesso modo in cui le richieste vengono effettuate in base all'ID Microsoft Entra?

Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope). Il parametro di ambito può essere organizzato come elenco separato da spazi in cui ogni voce è strutturata come risorsa/ambito.

AD FS supporta l'estensione PKCE?

AD FS in Windows Server 2019 supporta la chiave di prova per Lo scambio di codice (PKCE) per il flusso di concessione del codice di autorizzazione OAuth.

Quali ambiti consentiti sono supportati da AD FS?

Supportata:

• aza. Se si usano le estensioni del protocollo OAuth 2.0 per i client broker e il parametro di ambito contiene l'ambito aza, il server rilascia un nuovo token di aggiornamento primario e lo imposta nel campo refresh_token della risposta. Imposta anche il campo refresh_token_expires_in sulla durata del nuovo token di aggiornamento primario, se ne viene applicato uno.
• openid. Consente a un'applicazione di richiedere l'uso del protocollo di autorizzazione OpenID Connect.
• logon_cert. Consente a un'applicazione di richiedere certificati di accesso, che possono essere usati per accedere in modo interattivo agli utenti autenticati. Il server AD FS omette il parametro access_token dalla risposta e fornisce invece una catena di certificati CMS con codifica Base64 o una risposta PKI completa cmc. Per altre informazioni, vedere Dettagli sull'elaborazione.
• user_impersonation. Obbligatorio se si desidera richiedere un token di accesso on-behalf-of da AD FS. Per altre informazioni su come usare questo ambito, vedere Creare un'applicazione multilivello usando OBO (On-Behalf-Of) con OAuth con AD FS 2016.

Non supportata:

• vpn_cert. Consente a un'applicazione di richiedere certificati VPN, che possono essere usati per stabilire connessioni VPN usando l'autenticazione EAP-TLS. Questo ambito non è più supportato.
• E-mail. Consente a un'applicazione di richiedere un'attestazione di posta elettronica per l'utente connesso. Questo ambito non è più supportato.
• profilo. Consente a un'applicazione di richiedere attestazioni correlate al profilo per l'utente connesso. Questo ambito non è più supportato.

Operazioni

Come sostituire il certificato SSL per AD FS?

Il certificato SSL di AD FS non corrisponde al certificato di comunicazione del servizio AD FS nello snap-in Gestione AD FS. Per modificare il certificato SSL di AD FS, è necessario usare PowerShell. Seguire le indicazioni in Gestione dei certificati SSL in AD FS e WAP 2016.

Come è possibile abilitare o disabilitare le impostazioni TLS/SSL per AD FS?

Per informazioni sulla disabilitazione e l'abilitazione di protocolli SSL e pacchetti di crittografia, vedere Gestire i protocolli SSL in AD FS.

Il certificato SSL proxy deve essere uguale al certificato SSL di AD FS?

• Se il proxy viene usato per eseguire il proxy delle richieste AD FS che utilizzano l'autenticazione integrata di Windows, il certificato SSL proxy deve usare la stessa chiave del certificato SSL del server federativo.
• Se la proprietà AD FS ExtendedProtectionTokenCheck è abilitata (impostazione predefinita in AD FS), il certificato SSL proxy deve usare la stessa chiave del certificato SSL del server federativo.
• In caso contrario, il certificato SSL proxy può avere una chiave diversa dal certificato SSL DI AD FS. Deve soddisfare gli stessi requisiti.

Perché viene visualizzato solo un accesso tramite password in AD FS e non gli altri metodi di autenticazione configurati?

AD FS mostra un solo metodo di autenticazione nella schermata di accesso quando un'applicazione richiede in modo esplicito un URI di autenticazione specifico che esegue il mapping a un metodo di autenticazione configurato e abilitato. Il metodo viene trasmesso nel parametro wauth nelle richieste di WS-Federation. Viene trasmesso nel parametro RequestedAuthnCtxRef nelle richieste del protocollo SAML. Viene visualizzato solo il metodo di autenticazione richiesto. Ad esempio, l'accesso alla password.

Quando si usa AD FS con Microsoft Entra ID, è comune che le applicazioni inviino il parametro prompt=login all'ID Microsoft Entra. Microsoft Entra ID per impostazione predefinita converte questo parametro per richiedere un nuovo accesso basato su password ad AD FS. Questo scenario è il motivo più comune per cui è possibile visualizzare un accesso tramite password ad AD FS nella rete o non visualizzare un'opzione per accedere con il certificato. È possibile risolvere facilmente questo problema apportando una modifica alle impostazioni del dominio federato in Microsoft Entra ID.

Per altre informazioni, vedere Supporto dei parametri di accesso di Active Directory Federation Services.

Come è possibile modificare l'account del servizio AD FS?

Per modificare l'account del servizio AD FS, usare il modulo PowerShell dell'account del servizio casella degli strumenti di AD FS. Per istruzioni, vedere Modificare l'account del servizio AD FS.

Come è possibile configurare i browser per l'uso dell'autenticazione integrata di Windows con AD FS?

Vedere Configurare i browser per l'uso dell'autenticazione integrata di Windows con AD FS.

È possibile disattivare BrowserSsoEnabled?

Se non si dispone di criteri di controllo di accesso basati sul dispositivo in AD FS o sulla registrazione del certificato di Windows Hello for Business tramite AD FS, è possibile disattivare BrowserSsoEnabled. BrowserSsoEnabled consente ad AD FS di raccogliere un token di aggiornamento primario (PRT) dal client che contiene informazioni sul dispositivo. Senza tale token, l'autenticazione del dispositivo di AD FS non funzionerà nei dispositivi Windows 10.

Per quanto tempo sono validi i token AD FS?

Gli amministratori spesso si chiedono per quanto tempo gli utenti ottengono l'accesso Single Sign-On (SSO) senza dover immettere nuove credenziali e come gli amministratori possono controllare tale comportamento. Questo comportamento e le impostazioni di configurazione che lo controllano sono descritte nelle impostazioni di Single Sign-On di AD FS.

Le durate predefinite dei vari cookie e token sono elencate qui (insieme ai parametri che regolano la durata):

Dispositivi registrati

• Cookie PRT e SSO: 90 giorni massimi, regolati da PSSOLifeTimeMins. Se il dispositivo viene usato almeno ogni 14 giorni. Questa finestra temporale è controllata da DeviceUsageWindow.

• Token di aggiornamento: calcolato in base ai parametri precedenti per fornire un comportamento coerente.

• access_token: un'ora per impostazione predefinita, in base alla relying party.

• id_token: uguale a access_token.

Dispositivi non registrati

• Cookie SSO: otto ore per impostazione predefinita, regolate da SSOLifetimeMins. Quando l'opzione Mantieni l'accesso (KMSI) è abilitata, il valore predefinito è 24 ore. Questa impostazione predefinita è configurabile tramite KMSILifetimeMins.

• Token di aggiornamento: otto ore per impostazione predefinita. 24 ore se l'opzione KMSI è abilitata.

• access_token: un'ora per impostazione predefinita, in base alla relying party.

• id_token: uguale a access_token.

AD FS supporta i flussi impliciti per il client riservato?

AD FS non supporta i flussi impliciti per il client riservato. L'autenticazione client è abilitata solo per l'endpoint del token e AD FS non rilascia un token di accesso senza autenticazione client. Se il client riservato necessita di un token di accesso e richiede anche l'autenticazione utente, sarà necessario usare il flusso del codice di autorizzazione.

AD FS supporta HTTP Strict Transport Security (HSTS)?

HSTS è un meccanismo di criteri di sicurezza Web. Consente di attenuare gli attacchi di downgrade del protocollo e il hijacking dei cookie per i servizi con endpoint HTTP e HTTPS. Consente ai server Web di dichiarare che i Web browser (o altri agenti utente conformi) devono interagire solo usando HTTPS e non tramite il protocollo HTTP.

Tutti gli endpoint AD FS per il traffico di autenticazione Web vengono aperti esclusivamente tramite HTTPS. Ad FS riduce quindi le minacce create dal meccanismo dei criteri HSTS. Per impostazione predefinita, non esiste alcun downgrade a HTTP perché non sono presenti listener in HTTP. AD FS impedisce inoltre l'invio di cookie a un altro server con endpoint di protocollo HTTP contrassegnando tutti i cookie con il flag sicuro.

Non è quindi necessario HSTS in un server AD FS perché non è possibile effettuare il downgrade di HSTS. I server AD FS soddisfano i requisiti di conformità perché non possono usare HTTP e perché i cookie sono contrassegnati come sicuri.

Infine, AD FS 2016 (con le patch più up-to-date) e AD FS 2019 supportano l'emissione dell'intestazione HSTS. Per configurare questo comportamento, vedere Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS.

X-MS-Forwarded-Client-IP non contiene l'INDIRIZZO IP del client. Contiene l'INDIRIZZO IP del firewall davanti al proxy. Dove è possibile ottenere l'indirizzo IP del client?

Non è consigliabile eseguire la terminazione SSL prima del server proxy applicazione Web. Se viene eseguita davanti al server proxy applicazione Web, ilClient-IP X-MS-Forwarded conterrà l'indirizzo IP del dispositivo di rete davanti al server proxy applicazione Web. Ecco una breve descrizione delle varie attestazioni correlate all'IP supportate da AD FS:

• X-MS-Client-IP. IP di rete del dispositivo connesso al servizio token di sicurezza. Per le richieste extranet, questa attestazione contiene sempre l'indirizzo IP del server proxy applicazione Web.
• X-MS-Forwarded-Client-IP. Attestazione multivalore che contiene i valori inoltrati ad AD FS da Exchange Online. Contiene anche l'indirizzo IP del dispositivo connesso al server proxy applicazione Web.
• Usarerip. Per le richieste extranet, questa attestazione contiene il valore di X-MS-Forwarded-Client-IP. Per le richieste Intranet, questa attestazione contiene lo stesso valore di X-MS-Client-IP.

AD FS 2016 (con le patch più up-to-date) e versioni successive supportano anche l'acquisizione dell'intestazione X-Forwarded-For. Qualsiasi servizio di bilanciamento del carico o dispositivo di rete che non inoltra al livello 3 (IP viene mantenuto) deve aggiungere l'INDIRIZZO IP client in ingresso all'intestazione X- standard del settoreForwarded-For.

Sto cercando di ottenere più attestazioni sull'endpoint UserInfo, ma restituisce solo l'oggetto. Come è possibile ottenere più attestazioni?

L'endpoint UserInfo di AD FS restituisce sempre l'attestazione dell'oggetto come specificato negli standard OpenID. AD FS non supporta attestazioni aggiuntive richieste tramite l'endpoint UserInfo. Se sono necessarie più attestazioni in un token ID, vedere Token ID personalizzati in AD FS.

Perché viene visualizzato un avviso per l'impossibilità di aggiungere l'account del servizio AD FS al gruppo Enterprise Key Admins?

Questo gruppo viene creato solo quando nel dominio è presente un controller di dominio Windows Server 2016 con il ruolo FSMO PDC. Per risolvere l'errore, è possibile creare il gruppo manualmente. Seguire questa procedura per aggiungere le autorizzazioni necessarie dopo aver aggiunto l'account del servizio come membro del gruppo:

1. Aprire Utenti e computer di Active Directory.
2. Fare clic con il pulsante destro del mouse sul nome di dominio nel riquadro sinistro e quindi scegliere Proprietà.
3. Seleziona Sicurezza. Se manca la scheda Sicurezza , attivare Funzionalità avanzate dal menu Visualizza .
4. Selezionare Avanzate, Aggiungi e quindi Selezionare un'entità.
5. Viene visualizzata la finestra di dialogo Seleziona utente, computer, account del servizio o gruppo . Nella casella Immettere il nome dell'oggetto da selezionare immettere Key Admin Group. Seleziona OK.
6. Nella casella Si applica a selezionare Oggetti utente discendenti.
7. Scorrere fino alla fine della pagina e selezionare Cancella tutto.
8. Nella sezione Proprietà selezionare Leggi msDS-KeyCredentialLink e Scrivi msDS-KeyCredentialLink.

Perché l'autenticazione moderna dai dispositivi Android ha esito negativo se il server non invia tutti i certificati intermedi nella catena con il certificato SSL?

Per le app che usano la libreria Android ADAL, l'autenticazione a Microsoft Entra ID potrebbe non riuscire per gli utenti federati. L'app otterrà un'eccezione AuthenticationException quando tenta di visualizzare la pagina di accesso. Nel browser Chrome la pagina di accesso ad AD FS potrebbe essere descritta come non sicura.

Per tutte le versioni e tutti i dispositivi, Android non supporta il download di certificati aggiuntivi dal campo authorityInformationAccess del certificato. Questa limitazione si applica anche al browser Chrome. Qualsiasi certificato di autenticazione server mancante causa questo errore se l'intera catena di certificati non viene passata da AD FS.

È possibile risolvere questo problema configurando i server AD FS e Proxy applicazione Web per inviare i certificati intermedi necessari insieme al certificato SSL.

Quando si esporta il certificato SSL da un computer da importare nell'archivio personale del computer dei server AD FS e Proxy applicazione Web, assicurarsi di esportare la chiave privata e selezionare Scambio di informazioni personali - PKCS #12.

Assicurarsi inoltre di selezionare Includi tutti i certificati nel percorso del certificato, se possibile , ed Esporta tutte le proprietà estese.

Eseguire certlm.msc nei server Windows e importare *.pfx nell'archivio certificati personali del computer. In questo modo il server passerà l'intera catena di certificati alla libreria ADAL.

Annotazioni

Anche l'archivio certificati dei servizi di bilanciamento del carico di rete deve essere aggiornato per includere l'intera catena di certificati, se presente.

AD FS supporta le richieste HEAD?

AD FS non supporta le richieste HEAD. Le applicazioni non devono usare le richieste HEAD sugli endpoint AD FS. L'uso di queste richieste potrebbe causare risposte di errore HTTP impreviste o posticipate. È anche possibile che vengano visualizzati eventi di errore imprevisti nel registro eventi di AD FS.

Perché non viene visualizzato un token di aggiornamento quando si accede con un IdP remoto?

Un token di aggiornamento non viene emesso se il token rilasciato da IdP ha una validità inferiore a un'ora. Per assicurarsi che venga rilasciato un token di aggiornamento, aumentare la validità del token rilasciato dal provider di identità a più di un'ora.

Esiste un modo per modificare l'algoritmo di crittografia del token RP?

La crittografia del token RP è impostata su AES256. Non è possibile modificarlo in alcun altro valore.

In una farm in modalità mista viene visualizzato un errore quando si tenta di impostare il nuovo certificato SSL usando Set-AdfsSslCertificate -Thumbprint. Come è possibile aggiornare il certificato SSL in una farm AD FS in modalità mista?

Le farm AD FS in modalità mista devono essere temporanee. Durante la pianificazione è consigliabile eseguire il rollover del certificato SSL prima del processo di aggiornamento o completare il processo e aumentare il livello di comportamento della farm prima di aggiornare il certificato SSL. Se tale raccomandazione non è stata seguita, usare le istruzioni seguenti per aggiornare il certificato SSL.

Nei server Proxy applicazione Web è comunque possibile usare Set-WebApplicationProxySslCertificate. Nei server AD FS è necessario usare netsh. Completare questi passaggi:

1. Selezionare un subset di server AD FS 2016 per la manutenzione.

2. Nei server selezionati nel passaggio precedente importare il nuovo certificato tramite MMC.

3. Eliminare i certificati esistenti:

   a) netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Aggiungere i nuovi certificati:

   a) netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Riavviare il servizio AD FS nel server selezionato.

6. Rimuovere un subset di server proxy applicazione Web per la manutenzione.

7. Nei server Proxy applicazione Web selezionati importare il nuovo certificato tramite MMC.

8. Impostare il nuovo certificato nel server Proxy applicazione Web usando questo cmdlet:

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Riavviare il servizio nei server proxy applicazione Web selezionati.

10. Inserire nuovamente i server Proxy applicazione Web e AD FS selezionati nell'ambiente di produzione.

Aggiornare gli altri server AD FS e Proxy applicazione Web nello stesso modo.

AD FS è supportato quando i server proxy applicazione Web si trovano dietro Web Application Firewall (WAF) di Azure?

I server AD FS e applicazioni Web supportano qualsiasi firewall che non esegua la terminazione SSL nell'endpoint. Inoltre, i server PROXY applicazione Web/AD FS dispongono di meccanismi predefiniti per:

• Impedire attacchi Web comuni, ad esempio scripting tra siti.
• Eseguire il proxy AD FS.
• Soddisfare tutti i requisiti definiti dal protocolloMS-ADFSPIP.

Viene visualizzato l'evento 441: è stato trovato un token con una chiave di associazione token non valida. Cosa devo fare per risolvere questo evento?

In AD FS 2016, l'associazione di token viene abilitata automaticamente e causa più problemi noti con scenari di proxy e federazione. Questi problemi causano questo evento. Per risolvere questo evento, eseguire il comando di PowerShell seguente per rimuovere il supporto dell'associazione di token:

Set-AdfsProperties -IgnoreTokenBinding $true

La farm è stata aggiornata da AD FS in Windows Server 2016 ad AD FS in Windows Server 2019. Il livello di comportamento della farm AD FS è stato elevato a Windows Server 2019, ma la configurazione proxy applicazione Web viene ancora visualizzata come Windows Server 2016.

Dopo un aggiornamento a Windows Server 2019, la versione di configurazione del proxy applicazione Web continuerà a essere visualizzata come Windows Server 2016. Il proxy applicazione Web non dispone di nuove funzionalità specifiche della versione per Windows Server 2019. Se il livello di comportamento della farm è stato elevato in AD FS, il proxy applicazione Web continuerà a essere visualizzato come Windows Server 2016. Questo comportamento è predefinito.

È possibile stimare le dimensioni di ADFSArtifactStore prima di abilitare ESL?

Quando ESL è abilitato, AD FS tiene traccia dell'attività dell'account e dei percorsi noti per gli utenti nel database ADFSArtifactStore. Questo database viene ridimensionato in relazione al numero di utenti e posizioni note rilevate. Quando si prevede di abilitare ESL, è possibile stimare che il database ADFSArtifactStore crescerà fino a 1 GB per 100.000 utenti.

Se la farm AD FS usa il database interno di Windows, il percorso predefinito per i file di database è C:\Windows\WID\Data. Per evitare di riempire questa unità, assicurarsi di avere almeno 5 GB di spazio di archiviazione gratuito prima di abilitare ESL. Oltre all'archiviazione su disco, pianificare l'aumento della memoria totale dei processi dopo aver abilitato ESL fino a un altro 1 GB di RAM per la popolazione di utenti di 500.000 o meno.

Ricevo l'ID evento 570 in AD FS 2019. Come è possibile attenuare questo evento?

Ecco il testo dell'evento:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Questo evento si verifica quando le foreste non sono attendibili quando AD FS tenta di enumerare tutte le foreste in una catena di foreste attendibili e connettersi in tutte le foreste. Si supponga, ad esempio, che la foresta A e la foresta B di AD FS siano attendibili e che la foresta B e la foresta C siano attendibili. AD FS enumererà tutte e tre le foreste e tenterà di trovare un trust tra la foresta A e la foresta C. Se gli utenti della foresta con errori devono essere autenticati da AD FS, configurare un trust tra la foresta AD FS e la foresta con errori. Se gli utenti della foresta con errori non devono essere autenticati da AD FS, ignorare questo evento.

Ricevo l'ID evento 364. Cosa devo fare per risolvere il problema?

Ecco il testo dell'evento:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

In AD FS 2016, l'associazione di token viene abilitata automaticamente e causa più problemi noti con scenari di proxy e federazione. Questi problemi causano questo evento. Per risolvere l'evento, eseguire il comando di PowerShell seguente per rimuovere il supporto dell'associazione di token:

Set-AdfsProperties -IgnoreTokenBinding $true

Ricevo l'ID evento 543. Come è possibile attenuare questo evento?

Ecco il testo dell'evento:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Questo evento è previsto quando entrambe le istruzioni sono vere:

• È disponibile una farm in modalità mista.
• AD FS 2019 fornisce le informazioni sul livello di comportamento massimo della farm per il server federativo primario e non viene riconosciuto dalla versione 2016 del server federativo.

AD FS 2019 continua a tentare di condividere nella farm il valore Win2019 MaxBehaviorLevel fino a quando non diventa obsoleto dopo due mesi e viene rimosso automaticamente dalla farm. Per evitare di ottenere questo evento, eseguire la migrazione del ruolo federativo primario al server federativo con la versione più recente. Seguire le istruzioni in Per aggiornare la farm AD FS al livello di comportamento della farm di Windows Server 2019.

Come risolvere l'errore dei registri eventi di amministrazione di AD FS: "Richiesta Oauth non valida ricevuta. Il client <NAME> non può accedere alla risorsa con ug di ambito"?

Per ovviare a questo problema, esegui la procedura seguente:

1. Avviare la console di gestione di AD FS.
2. Passare aDescrizioni dell'ambito>.
3. In "Descrizioni ambito selezionare Altre opzioni, quindi selezionare Aggiungi descrizione ambito.
4. In Nome immettere ugs e quindi selezionare Applica>OK.
5. Avviare PowerShell come amministratore.
6. Eseguire il comando Get-AdfsApplicationPermission. Cercare l'oggetto ScopeNames :{openid, aza} con il ClientRoleIdentifier valore . Annotare il valore ObjectIdentifier.
7. Eseguire il comando Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Riavviare il servizio AD FS.
9. Nel client riavviare il client. Verrà richiesto di configurare Windows Hello for Business.
10. Se la finestra di configurazione non viene visualizzata, è necessario raccogliere i log di traccia e risolvere i problemi.

È possibile passare un valore di risorsa come parte del valore di ambito, ad esempio una richiesta tipica in Azure AD?

Sì, ma solo in Windows Server 2019 o versione successiva. È possibile organizzare il parametro di ambito come elenco separato da spazi in cui ogni voce è strutturata come risorsa o ambito, ad esempio <create a valid sample request>.

AD FS supporta l'estensione PKCE?

Sì, ma solo in Windows Server 2019 o versione successiva. AD FS supporta la chiave di prova per Lo scambio di codice (PKCE) per il flusso di concessione del codice di autorizzazione OAuth.

Come si ottiene l'estensione SID (Security Identifier) nei certificati registrati tramite AD FS per soddisfare i criteri di mapping sicuri applicati nel Centro distribuzione chiavi (KDC)?

AD FS registra i certificati di accesso per conto degli account autenticati in determinati scenari di Windows Hello For Business, come descritto in Configurare l'accesso Single Sign-On per Desktop virtuale Azure con AD FS. Per impostazione predefinita, questi certificati non contengono estensione SID e vengono negati dal KDC. Per altre informazioni sui requisiti KDC, vedere KB5014754: Modifiche all'autenticazione basata su certificati nei controller di dominio Windows. Gli aggiornamenti sono disponibili per AD FS in Windows Server 2019, Windows Server 2022 e Windows Server 2025 per garantire che i certificati rilasciati includano l'estensione SID per soddisfare requisiti di mapping sicuri. Per abilitare questo comportamento, installare gli aggiornamenti di Windows più recenti in tutti i server AD FS della farm ed eseguire il cmdlet seguente nel server AD FS primario:

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true

Questo articolo fornisce risposte alle domande frequenti su Active Directory Federation Services (AD FS). È suddivisa in sezioni basate sul tipo di domanda.

È possibile aggiornare/eseguire la migrazione di AD FS completando i passaggi descritti in uno degli articoli collegati seguenti:

• Da Windows Server 2012 R2 AD FS a Windows Server 2016 AD FS o versione successiva. Il processo è lo stesso se si esegue l'aggiornamento da Windows Server 2016 AD FS a Windows Server 2019 AD FS.
  • Aggiornamento ad AD FS in Windows Server 2016 tramite un database WID
  • Aggiornamento ad AD FS in Windows Server 2016 tramite un database SQL
• Da Windows Server 2012 AD FS a Windows Server 2012 R2 AD FS:
  • Eseguire la migrazione ad AD FS in Windows Server 2012 R2
• DA AD FS 2.0 a Windows Server 2012 AD FS:
  • Eseguire la migrazione ad AD FS in Windows Server 2012
• AD FS 1. da x ad AD FS 2.0:
  • Eseguire l'aggiornamento da AD FS 1. da x ad AD FS 2.0

Se è necessario eseguire l'aggiornamento da AD FS 2.0 o 2.1 (Windows Server 2008 R2 o Windows Server 2012), usare gli script predefiniti disponibili in C:\Windows\ADFS.

Il supporto HTTP/2 è stato aggiunto in Windows Server 2016, ma HTTP/2 non può essere usato per l'autenticazione del certificato client. Molti scenari di AD FS usano l'autenticazione del certificato client. E molti client non supportano la ripetizione dei tentativi tramite HTTP/1.1. La configurazione della farm AD FS riconfigura quindi le impostazioni HTTP del server locale in HTTP/1.1. Questa riconfigurazione richiede un riavvio del server.

Questa configurazione è supportata, ma non sono supportate nuove funzionalità di AD FS 2016. Questa configurazione deve essere temporanea durante la migrazione da AD FS 2012 R2 ad AD FS 2016. Non deve essere usato per lunghi periodi di tempo.

Sì, ma come effetto collaterale:

• Sarà necessario gestire manualmente gli aggiornamenti dei certificati di firma dei token perché Microsoft Entra ID non sarà in grado di accedere ai metadati della federazione. Per altre informazioni sull'aggiornamento manuale dei certificati di firma dei token, vedere Rinnovare i certificati federativi per Office 365 e Microsoft Entra ID.
• Non sarà possibile usare flussi di autenticazione legacy, ad esempio il flusso di autenticazione proxy ExO.

AD FS è un sistema senza stato, quindi il bilanciamento del carico è piuttosto semplice per gli accessi. Ecco alcuni consigli chiave per i sistemi di bilanciamento del carico:

• I servizi di bilanciamento del carico non devono essere configurati con affinità IP. L'affinità IP potrebbe comportare un carico eccessivo su un subset dei server in determinati scenari di Exchange Online.
• I servizi di bilanciamento del carico non devono terminare le connessioni HTTPS e avviare una nuova connessione al server AD FS.
• I servizi di bilanciamento del carico devono assicurarsi che l'indirizzo IP di connessione debba essere convertito come INDIRIZZO IP di origine nel pacchetto HTTP quando viene inviato ad AD FS. Se un servizio di bilanciamento del carico non può inviare l'INDIRIZZO IP di origine nel pacchetto HTTP, il servizio di bilanciamento del carico deve aggiungere l'indirizzo IP all'intestazione X-Forwarded-For. Questo passaggio è necessario per la corretta gestione di determinate funzionalità correlate all'IP( ad esempio IP vietato e blocco intelligente Extranet). Se questa configurazione non è implementata correttamente, la sicurezza potrebbe essere ridotta.
• I servizi di bilanciamento del carico devono supportare SNI. In caso contrario, assicurarsi che AD FS sia configurato per creare associazioni HTTPS per gestire i client che non supportano SNI.
• I servizi di bilanciamento del carico devono usare l'endpoint del probe di integrità HTTP di AD FS per rilevare se i server AD FS o Proxy applicazione Web sono in esecuzione. Deve escluderli se 200 OK non viene restituito.

AD FS supporta più configurazioni multiforesta. Si basa sulla rete trust di Active Directory Domain Services sottostante per autenticare gli utenti in più aree di autenticazione attendibili. È consigliabile impostare trust tra foreste bidirezionali perché sono più facili da configurare, in modo da garantire il corretto funzionamento del sistema di attendibilità.

Inoltre:

• Se si dispone di un trust tra foreste unidirezionale, ad esempio una foresta perimetrale (nota anche come rete perimetrale) che contiene identità partner, è consigliabile distribuire AD FS nella foresta aziendale. Considerare la foresta di rete perimetrale come un altro trust del provider di attestazioni locale connesso tramite LDAP. In questo caso, l'autenticazione integrata di Windows non funzionerà per gli utenti della foresta di rete perimetrale. Dovranno usare l'autenticazione password perché è l'unico meccanismo supportato per LDAP.

  Se non è possibile usare questa opzione, è necessario configurare un altro server AD FS nella foresta di rete perimetrale. Aggiungerlo come attendibilità del provider di attestazioni nel server AD FS nella foresta aziendale. Gli utenti dovranno eseguire l'individuazione dell'area di autenticazione principale, ma l'autenticazione integrata di Windows e l'autenticazione della password funzioneranno. Apportare le modifiche appropriate nelle regole di rilascio in AD FS nella foresta di rete perimetrale perché AD FS nella foresta aziendale non sarà in grado di ottenere altre informazioni sugli utenti dalla foresta di rete perimetrale.

• I trust a livello di dominio sono supportati e possono funzionare. È tuttavia consigliabile passare a un modello di trust a livello di foresta. È anche necessario assicurarsi che il routing UPN e la risoluzione dei nomi NetBIOS funzionino correttamente.

Annotazioni

Se si usa l'autenticazione elettiva con una configurazione trust bidirezionale, assicurarsi che all'utente chiamante venga concessa l'autorizzazione Allowed to Authenticate per l'account del servizio di destinazione.

Sì, gli indirizzi IPv6 vengono considerati per posizioni familiari e sconosciute.

AD FS fornisce un meccanismo estendibile per l'integrazione di provider di autenticazione a più fattori di terze parti. Non esiste un programma di certificazione impostato per questo. Si presuppone che il fornitore abbia eseguito le convalide necessarie prima del rilascio.

L'elenco dei fornitori che hanno informato Microsoft è disponibile qui: Provider di autenticazione a più fattori per AD FS. Potrebbero essere disponibili provider che non sappiamo. L'elenco verrà aggiornato man mano che ne verranno individuati di nuovi.

Sì, i proxy di terze parti possono essere posizionati davanti ad AD FS, ma qualsiasi proxy di terze parti deve supportare il protocolloMS-ADFSPIP da usare al posto del proxy applicazione Web.

Attualmente sono a conoscenza dei provider di terze parti seguenti. Potrebbero essere disponibili provider che non sappiamo. Questo elenco verrà aggiornato man mano che ne verranno individuati di nuovi.

• F5 Access Policy Manager
• Citrix Application Delivery Controller (ADC)

È possibile scaricare la versione di AD FS 2016 del foglio di calcolo. È anche possibile usare questo foglio di calcolo per AD FS in Windows Server 2012 R2.

Apple ha rilasciato un set di requisiti denominati App Transport Security (ATS) che potrebbero influire sulle chiamate da app iOS che eseguono l'autenticazione ad AD FS. È possibile assicurarsi che i server AD FS e Proxy applicazione Web siano conformi assicurandosi che supportino i requisiti per la connessione tramite ATS. In particolare, è necessario verificare che:

• I server AD FS e Proxy applicazione Web supportano TLS 1.2.
• La suite di crittografia negoziata della connessione TLS supporterà il segreto d'inoltro perfetto.

Per informazioni sull'abilitazione e la disabilitazione di SSL 2.0 e 3.0 e TLS 1.0, 1.1 e 1.2, vedere Gestire i protocolli SSL in AD FS.

Per assicurarsi che i server AD FS e Proxy applicazione Web negoziino solo pacchetti di crittografia TLS che supportano ATP, è possibile disabilitare tutte le suite di crittografia non incluse nell'elenco di pacchetti di crittografia conformi ad ATP. Per disabilitarli, usare i cmdlet di Windows TLS PowerShell.

Il valore dell'attestazione "sub" è l'hash dell'ID client e il valore dell'attestazione di ancoraggio.

La durata del token di aggiornamento sarà la durata del token ottenuto da AD FS dall'attendibilità del provider di attestazioni remote. La durata del token di accesso sarà la durata del token della relying party per cui viene emesso il token di accesso.

È possibile usare un id_token personalizzato per aggiungere informazioni pertinenti nel id_token stesso. Per altre informazioni, vedere Personalizzare le attestazioni da generare in id_token.

Per questo scenario in AD FS 2016 sono stati aggiunti uno speciale ValueType (http://www.w3.org/2001/XMLSchema#json) e un carattere di escape (\x22). Usare gli esempi seguenti per la regola di rilascio e per l'output finale del token di accesso.

Regola di rilascio di esempio:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Attestazione rilasciata nel token di accesso:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope). Il parametro di ambito può essere organizzato come elenco separato da spazi in cui ogni voce è strutturata come risorsa/ambito.

AD FS in Windows Server 2019 supporta la chiave di prova per Lo scambio di codice (PKCE) per il flusso di concessione del codice di autorizzazione OAuth.

Supportata:

• aza. Se si usano le estensioni del protocollo OAuth 2.0 per i client broker e il parametro di ambito contiene l'ambito aza, il server rilascia un nuovo token di aggiornamento primario e lo imposta nel campo refresh_token della risposta. Imposta anche il campo refresh_token_expires_in sulla durata del nuovo token di aggiornamento primario, se ne viene applicato uno.
• openid. Consente a un'applicazione di richiedere l'uso del protocollo di autorizzazione OpenID Connect.
• logon_cert. Consente a un'applicazione di richiedere certificati di accesso, che possono essere usati per accedere in modo interattivo agli utenti autenticati. Il server AD FS omette il parametro access_token dalla risposta e fornisce invece una catena di certificati CMS con codifica Base64 o una risposta PKI completa cmc. Per altre informazioni, vedere Dettagli sull'elaborazione.
• user_impersonation. Obbligatorio se si desidera richiedere un token di accesso on-behalf-of da AD FS. Per altre informazioni su come usare questo ambito, vedere Creare un'applicazione multilivello usando OBO (On-Behalf-Of) con OAuth con AD FS 2016.

Non supportata:

• vpn_cert. Consente a un'applicazione di richiedere certificati VPN, che possono essere usati per stabilire connessioni VPN usando l'autenticazione EAP-TLS. Questo ambito non è più supportato.
• E-mail. Consente a un'applicazione di richiedere un'attestazione di posta elettronica per l'utente connesso. Questo ambito non è più supportato.
• profilo. Consente a un'applicazione di richiedere attestazioni correlate al profilo per l'utente connesso. Questo ambito non è più supportato.

Il certificato SSL di AD FS non corrisponde al certificato di comunicazione del servizio AD FS nello snap-in Gestione AD FS. Per modificare il certificato SSL di AD FS, è necessario usare PowerShell. Seguire le indicazioni in Gestione dei certificati SSL in AD FS e WAP 2016.

Per informazioni sulla disabilitazione e l'abilitazione di protocolli SSL e pacchetti di crittografia, vedere Gestire i protocolli SSL in AD FS.

• Se il proxy viene usato per eseguire il proxy delle richieste AD FS che utilizzano l'autenticazione integrata di Windows, il certificato SSL proxy deve usare la stessa chiave del certificato SSL del server federativo.
• Se la proprietà AD FS ExtendedProtectionTokenCheck è abilitata (impostazione predefinita in AD FS), il certificato SSL proxy deve usare la stessa chiave del certificato SSL del server federativo.
• In caso contrario, il certificato SSL proxy può avere una chiave diversa dal certificato SSL DI AD FS. Deve soddisfare gli stessi requisiti.

AD FS mostra un solo metodo di autenticazione nella schermata di accesso quando un'applicazione richiede in modo esplicito un URI di autenticazione specifico che esegue il mapping a un metodo di autenticazione configurato e abilitato. Il metodo viene trasmesso nel parametro wauth nelle richieste di WS-Federation. Viene trasmesso nel parametro RequestedAuthnCtxRef nelle richieste del protocollo SAML. Viene visualizzato solo il metodo di autenticazione richiesto. Ad esempio, l'accesso alla password.

Quando si usa AD FS con Microsoft Entra ID, è comune che le applicazioni inviino il parametro prompt=login all'ID Microsoft Entra. Microsoft Entra ID per impostazione predefinita converte questo parametro per richiedere un nuovo accesso basato su password ad AD FS. Questo scenario è il motivo più comune per cui è possibile visualizzare un accesso tramite password ad AD FS nella rete o non visualizzare un'opzione per accedere con il certificato. È possibile risolvere facilmente questo problema apportando una modifica alle impostazioni del dominio federato in Microsoft Entra ID.

Per altre informazioni, vedere Supporto dei parametri di accesso di Active Directory Federation Services.

Per modificare l'account del servizio AD FS, usare il modulo PowerShell dell'account del servizio casella degli strumenti di AD FS. Per istruzioni, vedere Modificare l'account del servizio AD FS.

Vedere Configurare i browser per l'uso dell'autenticazione integrata di Windows con AD FS.

Se non si dispone di criteri di controllo di accesso basati sul dispositivo in AD FS o sulla registrazione del certificato di Windows Hello for Business tramite AD FS, è possibile disattivare BrowserSsoEnabled. BrowserSsoEnabled consente ad AD FS di raccogliere un token di aggiornamento primario (PRT) dal client che contiene informazioni sul dispositivo. Senza tale token, l'autenticazione del dispositivo di AD FS non funzionerà nei dispositivi Windows 10.

Gli amministratori spesso si chiedono per quanto tempo gli utenti ottengono l'accesso Single Sign-On (SSO) senza dover immettere nuove credenziali e come gli amministratori possono controllare tale comportamento. Questo comportamento e le impostazioni di configurazione che lo controllano sono descritte nelle impostazioni di Single Sign-On di AD FS.

Le durate predefinite dei vari cookie e token sono elencate qui (insieme ai parametri che regolano la durata):

Dispositivi registrati

• Cookie PRT e SSO: 90 giorni massimi, regolati da PSSOLifeTimeMins. Se il dispositivo viene usato almeno ogni 14 giorni. Questa finestra temporale è controllata da DeviceUsageWindow.

• Token di aggiornamento: calcolato in base ai parametri precedenti per fornire un comportamento coerente.

• access_token: un'ora per impostazione predefinita, in base alla relying party.

• id_token: uguale a access_token.

Dispositivi non registrati

• Cookie SSO: otto ore per impostazione predefinita, regolate da SSOLifetimeMins. Quando l'opzione Mantieni l'accesso (KMSI) è abilitata, il valore predefinito è 24 ore. Questa impostazione predefinita è configurabile tramite KMSILifetimeMins.

• Token di aggiornamento: otto ore per impostazione predefinita. 24 ore se l'opzione KMSI è abilitata.

• access_token: un'ora per impostazione predefinita, in base alla relying party.

• id_token: uguale a access_token.

AD FS non supporta i flussi impliciti per il client riservato. L'autenticazione client è abilitata solo per l'endpoint del token e AD FS non rilascia un token di accesso senza autenticazione client. Se il client riservato necessita di un token di accesso e richiede anche l'autenticazione utente, sarà necessario usare il flusso del codice di autorizzazione.

HSTS è un meccanismo di criteri di sicurezza Web. Consente di attenuare gli attacchi di downgrade del protocollo e il hijacking dei cookie per i servizi con endpoint HTTP e HTTPS. Consente ai server Web di dichiarare che i Web browser (o altri agenti utente conformi) devono interagire solo usando HTTPS e non tramite il protocollo HTTP.

Tutti gli endpoint AD FS per il traffico di autenticazione Web vengono aperti esclusivamente tramite HTTPS. Ad FS riduce quindi le minacce create dal meccanismo dei criteri HSTS. Per impostazione predefinita, non esiste alcun downgrade a HTTP perché non sono presenti listener in HTTP. AD FS impedisce inoltre l'invio di cookie a un altro server con endpoint di protocollo HTTP contrassegnando tutti i cookie con il flag sicuro.

Non è quindi necessario HSTS in un server AD FS perché non è possibile effettuare il downgrade di HSTS. I server AD FS soddisfano i requisiti di conformità perché non possono usare HTTP e perché i cookie sono contrassegnati come sicuri.

Infine, AD FS 2016 (con le patch più up-to-date) e AD FS 2019 supportano l'emissione dell'intestazione HSTS. Per configurare questo comportamento, vedere Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS.

Non è consigliabile eseguire la terminazione SSL prima del server proxy applicazione Web. Se viene eseguita davanti al server proxy applicazione Web, ilClient-IP X-MS-Forwarded conterrà l'indirizzo IP del dispositivo di rete davanti al server proxy applicazione Web. Ecco una breve descrizione delle varie attestazioni correlate all'IP supportate da AD FS:

• X-MS-Client-IP. IP di rete del dispositivo connesso al servizio token di sicurezza. Per le richieste extranet, questa attestazione contiene sempre l'indirizzo IP del server proxy applicazione Web.
• X-MS-Forwarded-Client-IP. Attestazione multivalore che contiene i valori inoltrati ad AD FS da Exchange Online. Contiene anche l'indirizzo IP del dispositivo connesso al server proxy applicazione Web.
• Usarerip. Per le richieste extranet, questa attestazione contiene il valore di X-MS-Forwarded-Client-IP. Per le richieste Intranet, questa attestazione contiene lo stesso valore di X-MS-Client-IP.

AD FS 2016 (con le patch più up-to-date) e versioni successive supportano anche l'acquisizione dell'intestazione X-Forwarded-For. Qualsiasi servizio di bilanciamento del carico o dispositivo di rete che non inoltra al livello 3 (IP viene mantenuto) deve aggiungere l'INDIRIZZO IP client in ingresso all'intestazione X- standard del settoreForwarded-For.

L'endpoint UserInfo di AD FS restituisce sempre l'attestazione dell'oggetto come specificato negli standard OpenID. AD FS non supporta attestazioni aggiuntive richieste tramite l'endpoint UserInfo. Se sono necessarie più attestazioni in un token ID, vedere Token ID personalizzati in AD FS.

Questo gruppo viene creato solo quando nel dominio è presente un controller di dominio Windows Server 2016 con il ruolo FSMO PDC. Per risolvere l'errore, è possibile creare il gruppo manualmente. Seguire questa procedura per aggiungere le autorizzazioni necessarie dopo aver aggiunto l'account del servizio come membro del gruppo:

1. Aprire Utenti e computer di Active Directory.
2. Fare clic con il pulsante destro del mouse sul nome di dominio nel riquadro sinistro e quindi scegliere Proprietà.
3. Seleziona Sicurezza. Se manca la scheda Sicurezza , attivare Funzionalità avanzate dal menu Visualizza .
4. Selezionare Avanzate, Aggiungi e quindi Selezionare un'entità.
5. Viene visualizzata la finestra di dialogo Seleziona utente, computer, account del servizio o gruppo . Nella casella Immettere il nome dell'oggetto da selezionare immettere Key Admin Group. Seleziona OK.
6. Nella casella Si applica a selezionare Oggetti utente discendenti.
7. Scorrere fino alla fine della pagina e selezionare Cancella tutto.
8. Nella sezione Proprietà selezionare Leggi msDS-KeyCredentialLink e Scrivi msDS-KeyCredentialLink.

Per le app che usano la libreria Android ADAL, l'autenticazione a Microsoft Entra ID potrebbe non riuscire per gli utenti federati. L'app otterrà un'eccezione AuthenticationException quando tenta di visualizzare la pagina di accesso. Nel browser Chrome la pagina di accesso ad AD FS potrebbe essere descritta come non sicura.

Per tutte le versioni e tutti i dispositivi, Android non supporta il download di certificati aggiuntivi dal campo authorityInformationAccess del certificato. Questa limitazione si applica anche al browser Chrome. Qualsiasi certificato di autenticazione server mancante causa questo errore se l'intera catena di certificati non viene passata da AD FS.

È possibile risolvere questo problema configurando i server AD FS e Proxy applicazione Web per inviare i certificati intermedi necessari insieme al certificato SSL.

Quando si esporta il certificato SSL da un computer da importare nell'archivio personale del computer dei server AD FS e Proxy applicazione Web, assicurarsi di esportare la chiave privata e selezionare Scambio di informazioni personali - PKCS #12.

Assicurarsi inoltre di selezionare Includi tutti i certificati nel percorso del certificato, se possibile , ed Esporta tutte le proprietà estese.

Eseguire certlm.msc nei server Windows e importare *.pfx nell'archivio certificati personali del computer. In questo modo il server passerà l'intera catena di certificati alla libreria ADAL.

Annotazioni

Anche l'archivio certificati dei servizi di bilanciamento del carico di rete deve essere aggiornato per includere l'intera catena di certificati, se presente.

AD FS non supporta le richieste HEAD. Le applicazioni non devono usare le richieste HEAD sugli endpoint AD FS. L'uso di queste richieste potrebbe causare risposte di errore HTTP impreviste o posticipate. È anche possibile che vengano visualizzati eventi di errore imprevisti nel registro eventi di AD FS.

Un token di aggiornamento non viene emesso se il token rilasciato da IdP ha una validità inferiore a un'ora. Per assicurarsi che venga rilasciato un token di aggiornamento, aumentare la validità del token rilasciato dal provider di identità a più di un'ora.

La crittografia del token RP è impostata su AES256. Non è possibile modificarlo in alcun altro valore.

Le farm AD FS in modalità mista devono essere temporanee. Durante la pianificazione è consigliabile eseguire il rollover del certificato SSL prima del processo di aggiornamento o completare il processo e aumentare il livello di comportamento della farm prima di aggiornare il certificato SSL. Se tale raccomandazione non è stata seguita, usare le istruzioni seguenti per aggiornare il certificato SSL.

Nei server Proxy applicazione Web è comunque possibile usare Set-WebApplicationProxySslCertificate. Nei server AD FS è necessario usare netsh. Completare questi passaggi:

1. Selezionare un subset di server AD FS 2016 per la manutenzione.

2. Nei server selezionati nel passaggio precedente importare il nuovo certificato tramite MMC.

3. Eliminare i certificati esistenti:

   a) netsh http delete sslcert hostnameport=fs.contoso.com:443

   b. netsh http delete sslcert hostnameport=localhost:443

   c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

4. Aggiungere i nuovi certificati:

   a) netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

   b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

   c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

5. Riavviare il servizio AD FS nel server selezionato.

6. Rimuovere un subset di server proxy applicazione Web per la manutenzione.

7. Nei server Proxy applicazione Web selezionati importare il nuovo certificato tramite MMC.

8. Impostare il nuovo certificato nel server Proxy applicazione Web usando questo cmdlet:

   • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"

9. Riavviare il servizio nei server proxy applicazione Web selezionati.

10. Inserire nuovamente i server Proxy applicazione Web e AD FS selezionati nell'ambiente di produzione.

Aggiornare gli altri server AD FS e Proxy applicazione Web nello stesso modo.

I server AD FS e applicazioni Web supportano qualsiasi firewall che non esegua la terminazione SSL nell'endpoint. Inoltre, i server PROXY applicazione Web/AD FS dispongono di meccanismi predefiniti per:

• Impedire attacchi Web comuni, ad esempio scripting tra siti.
• Eseguire il proxy AD FS.
• Soddisfare tutti i requisiti definiti dal protocolloMS-ADFSPIP.

In AD FS 2016, l'associazione di token viene abilitata automaticamente e causa più problemi noti con scenari di proxy e federazione. Questi problemi causano questo evento. Per risolvere questo evento, eseguire il comando di PowerShell seguente per rimuovere il supporto dell'associazione di token:

Set-AdfsProperties -IgnoreTokenBinding $true

Dopo un aggiornamento a Windows Server 2019, la versione di configurazione del proxy applicazione Web continuerà a essere visualizzata come Windows Server 2016. Il proxy applicazione Web non dispone di nuove funzionalità specifiche della versione per Windows Server 2019. Se il livello di comportamento della farm è stato elevato in AD FS, il proxy applicazione Web continuerà a essere visualizzato come Windows Server 2016. Questo comportamento è predefinito.

Quando ESL è abilitato, AD FS tiene traccia dell'attività dell'account e dei percorsi noti per gli utenti nel database ADFSArtifactStore. Questo database viene ridimensionato in relazione al numero di utenti e posizioni note rilevate. Quando si prevede di abilitare ESL, è possibile stimare che il database ADFSArtifactStore crescerà fino a 1 GB per 100.000 utenti.

Se la farm AD FS usa il database interno di Windows, il percorso predefinito per i file di database è C:\Windows\WID\Data. Per evitare di riempire questa unità, assicurarsi di avere almeno 5 GB di spazio di archiviazione gratuito prima di abilitare ESL. Oltre all'archiviazione su disco, pianificare l'aumento della memoria totale dei processi dopo aver abilitato ESL fino a un altro 1 GB di RAM per la popolazione di utenti di 500.000 o meno.

Ecco il testo dell'evento:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Questo evento si verifica quando le foreste non sono attendibili quando AD FS tenta di enumerare tutte le foreste in una catena di foreste attendibili e connettersi in tutte le foreste. Si supponga, ad esempio, che la foresta A e la foresta B di AD FS siano attendibili e che la foresta B e la foresta C siano attendibili. AD FS enumererà tutte e tre le foreste e tenterà di trovare un trust tra la foresta A e la foresta C. Se gli utenti della foresta con errori devono essere autenticati da AD FS, configurare un trust tra la foresta AD FS e la foresta con errori. Se gli utenti della foresta con errori non devono essere autenticati da AD FS, ignorare questo evento.

Ecco il testo dell'evento:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

In AD FS 2016, l'associazione di token viene abilitata automaticamente e causa più problemi noti con scenari di proxy e federazione. Questi problemi causano questo evento. Per risolvere l'evento, eseguire il comando di PowerShell seguente per rimuovere il supporto dell'associazione di token:

Set-AdfsProperties -IgnoreTokenBinding $true

Ecco il testo dell'evento:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Questo evento è previsto quando entrambe le istruzioni sono vere:

• È disponibile una farm in modalità mista.
• AD FS 2019 fornisce le informazioni sul livello di comportamento massimo della farm per il server federativo primario e non viene riconosciuto dalla versione 2016 del server federativo.

AD FS 2019 continua a tentare di condividere nella farm il valore Win2019 MaxBehaviorLevel fino a quando non diventa obsoleto dopo due mesi e viene rimosso automaticamente dalla farm. Per evitare di ottenere questo evento, eseguire la migrazione del ruolo federativo primario al server federativo con la versione più recente. Seguire le istruzioni in Per aggiornare la farm AD FS al livello di comportamento della farm di Windows Server 2019.

Per ovviare a questo problema, esegui la procedura seguente:

1. Avviare la console di gestione di AD FS.
2. Passare aDescrizioni dell'ambito>.
3. In "Descrizioni ambito selezionare Altre opzioni, quindi selezionare Aggiungi descrizione ambito.
4. In Nome immettere ugs e quindi selezionare Applica>OK.
5. Avviare PowerShell come amministratore.
6. Eseguire il comando Get-AdfsApplicationPermission. Cercare l'oggetto ScopeNames :{openid, aza} con il ClientRoleIdentifier valore . Annotare il valore ObjectIdentifier.
7. Eseguire il comando Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'.
8. Riavviare il servizio AD FS.
9. Nel client riavviare il client. Verrà richiesto di configurare Windows Hello for Business.
10. Se la finestra di configurazione non viene visualizzata, è necessario raccogliere i log di traccia e risolvere i problemi.

Sì, ma solo in Windows Server 2019 o versione successiva. È possibile organizzare il parametro di ambito come elenco separato da spazi in cui ogni voce è strutturata come risorsa o ambito, ad esempio <create a valid sample request>.

Sì, ma solo in Windows Server 2019 o versione successiva. AD FS supporta la chiave di prova per Lo scambio di codice (PKCE) per il flusso di concessione del codice di autorizzazione OAuth.

AD FS registra i certificati di accesso per conto degli account autenticati in determinati scenari di Windows Hello For Business, come descritto in Configurare l'accesso Single Sign-On per Desktop virtuale Azure con AD FS. Per impostazione predefinita, questi certificati non contengono estensione SID e vengono negati dal KDC. Per altre informazioni sui requisiti KDC, vedere KB5014754: Modifiche all'autenticazione basata su certificati nei controller di dominio Windows. Gli aggiornamenti sono disponibili per AD FS in Windows Server 2019, Windows Server 2022 e Windows Server 2025 per garantire che i certificati rilasciati includano l'estensione SID per soddisfare requisiti di mapping sicuri. Per abilitare questo comportamento, installare gli aggiornamenti di Windows più recenti in tutti i server AD FS della farm ed eseguire il cmdlet seguente nel server AD FS primario:

• Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true