Delen via

Problemen met AD FS oplossen: Microsoft Entra-id

Met de groei van de cloud hebben veel bedrijven microsoft Entra ID voor hun verschillende apps en services gebruikt. Federatie met Microsoft Entra ID is nu een standaardpraktijk met veel organisaties. In dit artikel worden enkele aspecten besproken van het oplossen van problemen die zich voordoen met deze federatie. Verschillende onderwerpen in het algemene artikel over probleemoplossing hebben nog steeds betrekking op federatie met Azure, dus in dit artikel worden de details beschreven van de interactie met Microsoft Entra ID en Active Directory Federation Services (AD FS).

Omleiding naar AD FS

Omleiding vindt plaats wanneer u zich aanmeldt bij een toepassing zoals Office 365 en u wordt omgeleid naar de AD FS-servers van uw organisatie om u aan te melden.

Schermopname van het deelvenster Doorverwijzing.

Eerste dingen die u moet controleren

Als omleiding niet plaatsvindt, zijn er een paar dingen die u moet controleren.

  1. Zorg ervoor dat uw Microsoft Entra-tenant is ingeschakeld voor federatie. Meld u aan bij Azure Portal en controleer onder Microsoft Entra Connect.

    Schermopname van het deelvenster Gebruikersaanmelding in Microsoft Entra Connect.

  2. Zorg ervoor dat uw aangepaste domein is geverifieerd. Selecteer het domein naast Federatie in Azure Portal.

    Schermopname van het domein naast Federatie in de portal.

  3. Controleer het Domain Name System (DNS) en zorg ervoor dat uw AD FS-servers of Webtoepassingsproxy-servers correct worden herkend via het internet. Controleer of ze worden opgelost en of u ernaartoe kunt gaan.

    U kunt ook de PowerShell-cmdlet Get-MgDomain gebruiken om deze informatie op te halen.

    Schermopname van het PowerShell-venster met de resultaten van de opdracht Get-MgDomain.

Er wordt een fout 'Onbekende verificatiemethode' weergegeven

Mogelijk treedt er een fout 'Onbekende verificatiemethode' op die aangeeft dat AuthnContext dit niet wordt ondersteund op het niveau van de AD FS- of beveiligingstokenservice (STS) wanneer u wordt omgeleid vanuit Azure.

Dit scenario is het meest gebruikelijk wanneer Microsoft Entra ID wordt omgeleid naar de AD FS of STS met behulp van een parameter die een verificatiemethode afdwingt.

Gebruik een van de volgende methoden om een verificatiemethode af te dwingen:

  • Gebruik voor WS-Federation een WAUTH-queryreeks om een voorkeursverificatiemethode af te dwingen.

  • Gebruik voor SAML 2.0 de volgende code:

    <saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>

    Wanneer de afgedwongen verificatiemethode wordt verzonden met een onjuiste waarde of als deze verificatiemethode niet wordt ondersteund op AD FS of STS, ontvangt u een foutbericht voordat u wordt geverifieerd.

Verificatiemethode vereist WAUTH URI
Gebruikersnaam en wachtwoordverificatie urn:oasis:names:tc:SAML:1.0:am:password
SSL-clientverificatie (Secure Sockets Layer) urn:ietf:rfc:2246
Geïntegreerde Windows-verificatie urn:federation:authentication:windows

De volgende tabel bevat ondersteunde contextklassen voor SAML-verificatie:

Verificatiemethode URI van verificatiecontextklasse
Gebruikersnaam en wachtwoord urn:oasis:names:tc:SAML:2.0:ac:classes:Password
Met een wachtwoord beveiligd transport urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
TLS-client (Transport Layer Security) urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
X.509-certificaat urn:oasis:names:tc:SAML:2.0:ac:classes:X509
Geïntegreerde Windows-verificatie urn:federation:authentication:windows
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

Controleer de volgende dingen om ervoor te zorgen dat de verificatiemethode wordt ondersteund op AD FS-niveau.

AD FS 2.0

Controleer onder /adfs/ls/web.configof de vermelding voor het verificatietype aanwezig is.

<microsoft.identityServer.web>
<localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />
</localAuthenticationTypes>

AD FS 2012 R2

  1. Onder AD FS-beheer selecteer Authenticatiebeleid in de AD FS-module.

  2. Selecteer Bewerken in de sectie Primaire verificatie naast Algemene instellingen. U kunt ook met de rechtermuisknop op Verificatiebeleid klikken en vervolgens Globale primaire verificatie bewerken selecteren. Of selecteer globale primaire verificatie bewerken in het deelvenster Acties.

  3. In het deelvenster Globaal verificatiebeleid bewerken , op het tabblad Primair , kunt u instellingen configureren als onderdeel van het globale verificatiebeleid. Voor primaire verificatie selecteert u bijvoorbeeld beschikbare verificatiemethoden onder Extranet en Intranet.

    Zorg ervoor dat het selectievakje voor de vereiste verificatiemethode is ingeschakeld.

AD FS 2016

  1. Selecteer onder AD FS-beheerService>Authenticatiemethoden in de AD FS-module.

  2. Selecteer Bewerken in de sectie Primaire verificatie.

  3. In het deelvenster Verificatiemethoden bewerken kunt u op het tabblad Primair instellingen configureren als onderdeel van het verificatiebeleid.

    Schermopname van het deelvenster Verificatiemethoden bewerken.

Tokens uitgegeven door AD FS

In deze sectie worden tokens besproken die zijn uitgegeven door AD FS.

Microsoft Entra ID genereert een fout na tokenuitgifte

Nadat AD FS een token heeft opgegeven, kan de Microsoft Entra-id een fout veroorzaken. Controleer in deze situatie op de volgende problemen:

  • De claims die AD FS in het token afgeeft, moeten overeenkomen met de respectieve attributen van de gebruiker in Microsoft Entra ID.

  • Het token voor Microsoft Entra-id moet de volgende vereiste claims bevatten:

    • WSFED:

      • UPN: De waarde van deze claim moet overeenkomen met de UPN (User Principal Name) van de gebruikers in Microsoft Entra ID.
      • Onveranderbare id: de waarde van deze claim moet overeenkomen met de sourceAnchor of ImmutableID kenmerken van de gebruiker in Microsoft Entra-id.

      Voer de volgende opdrachtregel uit om de User kenmerkwaarde op te halen in Microsoft Entra ID: Get-AzureADUser –UserPrincipalName <UPN>

      Schermopname van het PowerShell-deelvenster met de resultaten van de opdracht Get-AzureADUser.

    • SAML 2.0:

      • IDPEmail: de waarde van deze claim moet overeenkomen met de UPN van de gebruikers in Microsoft Entra ID.
      • NAMEID: De waarde van deze claim moet overeenkomen met de sourceAnchor of ImmutableID kenmerken van de gebruiker in Microsoft Entra ID.

Zie Een SAML 2.0-id-provider gebruiken om eenmalige aanmelding te implementeren voor meer informatie.

Certificaat voor tokenondertekening komt niet overeen tussen AD FS en Microsoft Entra-id

AD FS gebruikt het certificaat voor tokenondertekening om het token te ondertekenen dat naar de gebruiker of toepassing wordt verzonden. De vertrouwensrelatie tussen AD FS en Microsoft Entra ID is een federatieve vertrouwensrelatie die is gebaseerd op dit certificaat voor tokenondertekening.

Als het certificaat voor tokenondertekening aan de AD FS-zijde wordt gewijzigd vanwege automatische certificaatrollover of door enige interventie, moeten de details van het nieuwe certificaat worden bijgewerkt aan de zijde van Microsoft Entra ID voor het federatieve domein. Wanneer het primaire tokenondertekeningscertificaat op de AD FS verschilt van Microsoft Entra-id, vertrouwt Microsoft Entra-id het token dat AD FS heeft uitgegeven niet. Daarom mag de federatieve gebruiker zich niet aanmelden.

Volg de stappen in Federatiecertificaten vernieuwen voor Office 365 en Microsoft Entra ID om dit probleem op te lossen.

Andere veelvoorkomende zaken die moeten worden gecontroleerd

Als u problemen ondervindt met AD FS- en Microsoft Entra-interactie, controleert u op:

  • Verouderde of in de cache bewaarde inloggegevens in Windows Credential Manager.
  • De Secure Hash Algorithm (SHA) die is geconfigureerd op de vertrouwensrelatie van de relied partij voor Office 365, is ingesteld op SHA1.

Verwante inhoud