所以,为ADFS 2.0身份验证配置了网站...
对于IE - 它运行正常并且验证正确
对于Chrome - 它会重定向到AD FS服务器...要求进行身份验证但无法进行身份验证。
我尝试使用fiddler请求,但它没有显示任何有趣的内容 - 因此请显示我们重定向到adfs进行身份验证但不再是
它可能是什么?为什么不能对chrome进行身份验证感谢
答案 0 :(得分:21)
在事件查看器中,您将看到“审核失败”事件,其中包含“状态:0xc000035b”。您可以通过关闭adfs / ls Web应用程序的“扩展保护”来解决此问题。
网上有几篇文章,例如微软AD FS论坛上的"0xc000035b error during windows integrated login"主题。引用:
关闭,启用扩展保护 AD FS服务器,启动IIS管理器, 然后,在左侧树视图中, 访问网站 - >默认网站 - > adfs - > LS。一旦你选择了 “/ adfs / ls”文件夹,双击 验证图标,然后单击鼠标右键 Windows身份验证并选择 高级设置...在高级设置上 设置对话框,选择关闭 扩展保护。
在我所知的几种情况下会出现此问题:使用Firefox 3.5+或Chrome时,使用某些特定的NTLM配置,我手边没有详细信息,以及使用Fiddler时(请参阅{{3} TechNet文章发布,以及包含更多技术背景信息的"AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger"博客文章。)
(请注意,我无处可以找到任何有关如何从AD FS进行NTLM身份验证的信息,例如Google Chrome和Firefox 3.5+工作,无需关闭“扩展保护”。我的意思是,互联网Explorer使用“扩展保护”,为什么不使用Chrome或Firefox?或者这是Chrome / Firefox实施错误/限制,例如,在使用Windows NTLM库时?)
答案 1 :(得分:1)
来自Microsoft:http://technet.microsoft.com/en-us/library/hh852537.aspx
除非Firefox,Google Chrome和Safari支持Extended 保护身份验证,建议选择安装 并使用Internet Explorer 10或更高版本。如果你想使用单身 使用Firefox,Google Chrome或Safari登录Office 365 是另外两个解决方案: (1)卸载扩展保护修补程序 从你的电脑。 (2)更改扩展保护设置 Active Directory Federation Services 2.0服务器。看到 TechNet Set-ADFSProperties页面上的“ExtendedProtectionTokenCheck” 详情。
答案 2 :(得分:1)
关闭延长保护不是解决之道。您添加了chrome,因为adfs可以识别它,然后将该站点添加到可信列表中。
确保adfs支持chrome。 因此,如果您运行以下命令:
$a=Get-Adfsproperties
$a.WIASupportedUserAgents
然后将chrome添加到列表中。
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")
现在,我们需要告诉Chrome它应该允许Windows Integrated Auth用于该网站。
要执行此操作,您需要转到以下设置: 单击“高级” 单击代理设置 它应该打开您的IE属性。点击Security&选择"本地Intranet"并在此处添加ADFS的联合身份验证服务名称。 单击关闭并在IE属性下应用。 重新启动Chrome,下次当您尝试访问该网站时,它不会要求您提供凭据。
这是一项解决方案,旨在允许SSO与Chrome无法禁用扩展保护。为MS支持干杯。