ADFS: alguns usuários não conseguem fazer login

tag-icon tag-icon authentication adfs
ADFS: alguns usuários não conseguem fazer login

Tenho uma nova implementação de ADFS em execução no Server 2019. Após a configuração, testei a autenticação para várias contas de usuário usando /adfs/ls/IdpInitiatedSignon.aspx. A maior parte da conta que testei funcionou bem, sem problemas. Existem algumas contas, no entanto, que exibem o seguinte comportamento:

  • Fazer login com um nome de usuário/senha incorretos resulta em uma mensagem de erro indicando que o nome de usuário/senha está incorreto. Isto é esperado e desejável.
  • Fazer login com o nome de usuário/senha corretos resulta em uma atualização da página, exibindo o formulário de login novamente. Não há nenhuma mensagem de erro. Vou chamar isso de"atualizar login".

No log de eventos de segurança no servidor ADFS, vejo os três eventos a seguir relacionados à "atualização de login":

  • Evento 4648 - Tentativa de logon usando credenciais explícitas.
  • Evento 4624 – Uma conta foi conectada com sucesso.
  • Evento 4625 - Falha ao fazer logon na conta (motivo da falha: nome de usuário desconhecido ou senha incorreta)

Algumas informações:

  • O ADFS está configurado para usar uma conta de serviço gerenciado por grupo chamada FsGmsa. É membro do Grupo de Acesso de Autorização do Windows.
  • "Formulários" e "Autenticação Microsoft Passport" estão habilitados como métodos de autenticação primários. Eventualmente adicionarei o Azure MFA.
  • Todos os testes foram executados na intranet.
  • Todos os certificados são válidos e não expiraram.
  • Obtenho os mesmos resultados para os mesmos usuários, independentemente do computador/dispositivo usado.
  • Não consigo encontrar semelhanças ou diferenças entre as contas que funcionam e as contas que não funcionam.

Responder1

OGrupo de acesso de autorização do Windowsnão tinha autoridade para ler otokenGroupsGlobalAndUniversalpropriedade nas contas em questão. Estas são as etapas que executei para corrigir o problema:

  1. Abra usuários e computadores do Active Directory
  2. Vou aoVisualizarmenu e certifique-se de que oCaracterísticas avançadasopção está marcada.
  3. Abra oPropriedadespara a conta de usuário desejada.
  4. Clique noSegurançaaba.
  5. Clique noAvançadobotão.
  6. Procure umPermitirentrada para o principal "Grupo de acesso de autorização do Windows".
    • Se houver uma entrada, clique noEditarbotão.
    • Se houvernãouma entrada, clique no botão "Adicionar".
  7. A seção superior doEntrada de permissãodeveria ser o seguinte:
    • Diretor:Grupo de acesso de autorização do Windows
    • Tipo:Permitir
    • Aplica-se a:Este objeto apenas
  8. Se esta for uma nova entrada, role até a parte inferior da janela e clique no botãoLimpar tudobotão.
  9. Adicione um cheque aoLeia tokenGroupsGlobalAndUniversalpropriedade. Está perto do final da lista.
  10. CliqueOKpara fechar oEntrada de permissãojanela.
  11. CliqueOKpara fechar oConfigurações avançadas de segurançajanela.
  12. CliqueOKpara a contaPropriedadesjanela.

Você precisará repetir as etapas 3 a 12 para as outras contas em questão. Depois, teste suas contas e elas deverão fazer login sem problemas.

informação relacionada