Настройка браузеров для использования встроенной проверки подлинности Windows (WIA) с AD FS
По умолчанию встроенная проверка подлинности Windows (WIA) включена в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 для запросов проверки подлинности, происходящих в внутренней сети организации (интрасети) для любого приложения, использующего браузер для его проверки подлинности.
Ad FS 2016 теперь имеет улучшенный параметр по умолчанию, который позволяет браузеру Edge выполнять WIA, а не (неправильно) перехватывать Windows Телефон также:
=~Windows\s*NT.*Edg.*
Приведенный выше вариант означает, что вам больше не нужно настраивать отдельные строки агента пользователя для поддержки распространенных сценариев Edge, даже если они обновляются довольно часто.
Для других браузеров настройте свойство AD FS WiaSupportedUserAgents , чтобы добавить необходимые значения на основе используемых браузеров. Приведенные ниже процедуры можно использовать.
Просмотр параметров WIASupportedUserAgent
WiASupportedUserAgents определяет агенты пользователей, поддерживающие WIA. AD FS анализирует строку агента пользователя при выполнении входа в браузере или элементе управления браузером.
Текущие параметры можно просмотреть с помощью следующего примера PowerShell:
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
Изменение параметров WIASupportedUserAgent
По умолчанию новая установка AD FS содержит набор совпадений строки агента пользователя. Однако они могут быть устаревшими на основе изменений в браузерах и устройствах. В частности, устройства Windows имеют аналогичные строки агента пользователя с незначительными вариациями маркеров. В следующем примере Windows PowerShell приведены лучшие рекомендации для текущего набора устройств, которые находятся на рынке сегодня, которые поддерживают простой WIA:
Если у вас есть AD FS в Windows Server 2012 R2 или более ранней версии:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Если у вас есть AD FS в Windows Server 2016 или более поздней версии:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
Приведенная выше команда гарантирует, что AD FS охватывает только следующие варианты использования для WIA:
| Агенты пользователя | Случаи использования |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7, IE в зоне интрасети. Фрагмент Windows NT отправляется системой операций рабочего стола. |
| MSIE 8.0 | IE 8.0 (устройства не отправляют это, поэтому необходимо сделать более конкретным) |
| MSIE 9.0 | IE 9.0 (устройства не отправляют это, поэтому не нужно делать это более конкретным) |
| MSIE 10.0; Windows NT 6 | IE 10.0 для Windows XP и более новых версий настольных операционных системWindows Телефон 8.0 (с предпочтениями для мобильных устройств) исключены из-за того, что они отправляютuser-Agent: Mozilla/5.0 (совместимо; MSIE 10.0; Windows Телефон 8.0; Trident/6.0; IEMobile/10.0; РУКУ; Сенсорный; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Операционная система Windows 8.1 для настольных компьютеров, разные платформы |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Операционная система Windows 8 для настольных компьютеров, разные платформы |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Операционная система Windows 7 для настольных компьютеров, разные платформы |
| Edg/ и Edge/ | Microsoft Edge (Chromium) для Windows Server 2012 R2 или более ранней версии |
| =~Windows\s*NT.*Edg.* | Microsoft Edge (Chromium) для Windows Server 2016 или более поздней версии |
| MSIPC | Клиент Microsoft Information Protection и control |
| Клиент Windows Rights Management | Клиент Windows Rights Management |