ADFS: algunos usuarios no pueden iniciar sesión

tag-icon tag-icon authentication adfs
ADFS: algunos usuarios no pueden iniciar sesión

Tengo una nueva implementación de ADFS ejecutándose en Server 2019. Después de la configuración, probé la autenticación para varias cuentas de usuario usando /adfs/ls/IdpInitiatedSignon.aspx. La mayoría de las cuentas que probé funcionaron bien y sin problemas. Sin embargo, hay algunas cuentas que exhiben el siguiente comportamiento:

  • Iniciar sesión con un nombre de usuario/contraseña incorrecto genera un mensaje de error que indica que el nombre de usuario/contraseña es incorrecto. Esto es esperado y deseable.
  • Iniciar sesión con el nombre de usuario y la contraseña correctos da como resultado una actualización de la página y se muestra nuevamente el formulario de inicio de sesión. No hay ningún mensaje de error. Llamaré a esto el"actualizar inicio de sesión".

En el registro de eventos de seguridad en el servidor ADFS, veo los siguientes tres eventos relacionados con la "actualización de inicio de sesión":

  • Evento 4648: se intentó iniciar sesión utilizando credenciales explícitas.
  • Evento 4624: se inició sesión correctamente en una cuenta.
  • Evento 4625: una cuenta no pudo iniciar sesión (motivo del error: nombre de usuario desconocido o contraseña incorrecta)

Algunas piezas de información:

  • ADFS está configurado para utilizar una cuenta de servicio administrada por grupo llamada FsGmsa. Es miembro del grupo de acceso de autorización de Windows.
  • "Formularios" y "Autenticación de Microsoft Passport" están habilitados como métodos de autenticación principales. Eventualmente agregaré Azure MFA.
  • Todas las pruebas se han realizado en la intranet.
  • Todos los certificados son válidos y no han caducado.
  • Obtengo los mismos resultados para los mismos usuarios, independientemente de qué computadora/dispositivo utilice.
  • No encuentro similitudes ni diferencias entre las cuentas que funcionan y las que no.

Respuesta1

ElGrupo de acceso de autorización de Windowsno tenía autoridad para leer eltokenGroupsGlobalAndUniversalpropiedad en las cuentas en cuestión. Estos son los pasos que tomé para solucionar el problema:

  1. Abrir usuarios y computadoras de Active Directory
  2. Ve a laVistamenú y asegúrese de queCaracterísticas avanzadasLa opción está marcada.
  3. Abre elPropiedadespara la cuenta de usuario deseada.
  4. Haga clic en elSeguridadpestaña.
  5. Haga clic en elAvanzadobotón.
  6. busca unPermitirentrada para el principal "Grupo de acceso de autorización de Windows".
    • Si hay una entrada, haga clic en elEditarbotón.
    • Si haynouna entrada, haga clic en el botón "Agregar".
  7. La sección superior delEntrada de permisodebería ser el siguiente:
    • Principal:Grupo de acceso de autorización de Windows
    • Tipo:Permitir
    • Se aplica a:este objeto solo
  8. Si se trata de una entrada nueva, desplácese hasta el final de la ventana y haga clic enLimpiar todobotón.
  9. Agregar un cheque alLeer tokenGroupsGlobalAndUniversalpropiedad. Está cerca del final de la lista.
  10. Hacer clicDE ACUERDOpara cerrar elEntrada de permisoventana.
  11. Hacer clicDE ACUERDOpara cerrar elConfiguración de seguridad avanzadaventana.
  12. Hacer clicDE ACUERDOa la cuentaPropiedadesventana.

Deberá repetir los pasos del 3 al 12 para las otras cuentas en cuestión. Luego, pruebe sus cuentas y deberían iniciar sesión sin problemas.

información relacionada