ADFS 身份验证 - IE8 有效，Chrome 失败

Posted 2023-02-27

【中文标题】ADFS 身份验证 - IE8 有效，Chrome 失败

【英文标题】：ADFS authentication - IE8 works, Chrome fails

【发布时间】：2011-07-23 03:04:17

【问题描述】：

所以，为 ADFS 2.0 身份验证配置网站...

对于 IE - 它工作正常并且验证正确

对于 Chrome - 它到达重定向到 AD FS 服务器...要求进行身份验证但无法进行身份验证。

我尝试使用 fiddler 请求，但它没有显示任何有趣的内容 - 所以表明我们重定向到 adfs 进行身份验证，仅此而已

可能是什么？为什么无法对 chrome 进行身份验证

谢谢

【参考方案1】：

在事件查看器中，您将看到带有“状态：0xc000035b”的“审核失败”事件。您可以通过关闭 adfs/ls Web 应用程序的“扩展保护”来规避此问题。

网络上有几篇关于此的文章，例如 Microsoft 的 AD FS 论坛上的 "0xc000035b error during windows integrated login" 线程。引用：

要关闭扩展保护，打开 AD FS 服务器，启动 IIS 管理器， 然后，在左侧树视图中， 访问站点 -> 默认网站 -> adfs -> ls。一旦你选择了 “/adfs/ls”文件夹，双击 身份验证图标，然后右键单击 Windows 身份验证并选择 高级设置... 在高级 设置对话框，选择关闭 扩展保护。

这个问题发生在我知道的几种情况下：使用 Firefox 3.5+ 或 Chrome 时，使用我手头没有详细信息的某些特定 NTLM 配置时，以及使用 Fiddler 时（请参阅"AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger" TechNet文章帖子，以及包含更多技术背景信息的 "Fiddler and Channel-Binding-Tokens" 博客帖子）。

（请注意，我在任何地方都找不到任何信息，如何在不关闭“扩展保护”的情况下从例如 Google Chrome 和 Firefox 3.5+ 对 AD FS 进行 NTLM 身份验证。我的意思是，互联网资源管理器与“扩展保护”一起使用，为什么 Chrome 或 Firefox 不使用？或者这是 Chrome/Firefox 实施错误/限制，例如，在他们使用 Windows NTLM 库时？）

【讨论】：

感谢您提供信息丰富的回复 - 我已经为这个问题苦苦挣扎好几天了！

作为更新.. 适用于 32 位 Windows 上的 Firefox（所有版本）和 Chrome。仅在 64 位 Windows 上的 Chrome 上失败（所有版本.. Vista/7/8/8.1）。 Chrome 本身仅在 Windows 上提供 32 位版本。

您在 Chrome 32 位和 64 位中看到的差异可能由 this answer 解释。

【参考方案2】：

来自微软：http://technet.microsoft.com/en-us/library/hh852537.aspx

除非和直到 Firefox、Google Chrome 和 Safari 支持扩展 身份验证保护，推荐的选项是安装 并使用 Internet Explorer 10 或更高版本。如果你想使用单 使用 Firefox、Google Chrome 或 Safari 登录 Office 365，那里 是另外两个解决方案： (1) 卸载扩展保护补丁 从您的计算机。 (2) 更改扩展保护设置 Active Directory 联合服务 2.0 服务器。看 TechNet Set-ADFSProperties 页面上的“ExtendedProtectionTokenCheck” 了解详情。

【参考方案3】：

关闭扩展保护不是答案。您添加 chrome 以便 adfs 可以识别它，然后将该站点添加到受信任列表中。

确保 adfs 支持 chrome。 因此，如果您运行以下命令：

$a=Get-Adfsproperties 
$a.WIASupportedUserAgents

然后您将 chrome 添加到列表中。

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

现在，我们需要告诉 Chrome，它应该允许该站点的 Windows 集成身份验证。

为此，您需要转到设置： 点击高级 点击代理设置 它应该打开您的 IE 属性。单击安全并选择“本地 Intranet”并在此处添加您的 ADFS 的联合服务名称。 单击 IE 属性下的关闭和应用。 重新启动 Chrome，下次您尝试访问该网站时，它不会要求您提供凭据。

这是一个在工作中提出的解决方案，允许在不禁用扩展保护的情况下使用 Chrome 进行 SSO。为 MS 支持干杯。

【讨论】：

我认为这适用于 ADFS 3.0，但不适用于 ADFS 2.0

我们正在运行 ADFS 3.0，这对我不起作用。还有其他人在这方面取得了成功吗？

Kevin：这是针对 ADFS3.0 的。 teleute00：这就是我目前在工作中的部署方式。您是否创建了组策略以将联合名称添加到受信任的站点列表？