Résolution des problèmes liés aux services ADFS (Active Directory Federation Services)

Plusieurs éléments peuvent entraîner ce problème :

• Vérifiez que tous les serveurs de fédération possèdent un certificat d’authentification serveur émis pour le site Web par défaut.
  
  
• Vérifiez que tous les serveurs Web prenant en charge AD FS possèdent un certificat d’authentification serveur émis pour le site Web où réside l’application.
  
  
• Si un proxy du service de fédération de partenaire de compte externe intervient, vérifiez que le nom d’hôte du service de fédération correct a été utilisé lors de l’installation.
  
  
• Si vous utilisez une application basée sur une autorisation de jeton Windows NT, vérifiez que l’URL (Uniform Resource Locator) du service de fédération dans le composant logiciel enfichable Gestionnaire des services Internet (IIS), sous <nom de l’ordinateur>\URL du service de fédération, est correctement configurée.
  
  

Ce problème peut être dû aux problèmes de configuration suivants :

• Vérifiez que l’application Web est correctement configurée dans les services Internet (IIS).
  
  
• Vérifiez que l’URL de l’application Web possède un nom correct dans le composant logiciel enfichable Services ADFS (Active Directory Federation Services).
  
  
• Vérifiez que Microsoft ASP.NET est installé sur le serveur Web prenant en charge AD FS et dans le service de fédération.
  
  
• Si vous vous connectez à une application basée sur une autorisation de jeton Windows NT utilisant ASP et que vous recevez l’erreur 404 après avoir fourni vos informations d’identification, vérifiez que le gestionnaire ASPClassic dans les services IIS est activé et configuré pour gérer les pages *.asp. Vérifiez également que la fonctionnalité ASP est installée pour les services IIS.
  
  

Vérifiez que le répertoire virtuel de l’application basée sur une autorisation de jeton Windows NT est défini de manière à utiliser l’extension ISAPI (Internet Server Application Programming Interface) Ifsext.dll.

Le serveur de fédération de comptes utilise un package d’authentification pour le mappage de certificats clients. Pour activer la journalisation pour le package d’authentification de serveur de fédération de comptes, effectuez les tâches suivantes dans l’ordre indiqué :

1. S’il n’est pas déjà installé, installez le composant Service de fédération des services ADFS (Active Directory Federation Services).
   
   
2. Définissez la clé de Registre suivante : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
   
   "DebugLevel"=dword:ffffffff
   
   

Le package d’authentification de l’agent Web AD FS est utilisé par les applications basées sur une autorisation de jeton Windows NT pour la création de jetons lorsque Service-for-User (S4U) n’est pas disponible. Il est aussi utilisé lorsque le jeton contient des identificateurs de sécurité (SID), comme dans les scénarios qui utilisent des groupes de ressources ou l’option Relation d’approbation Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

L’extension de l’agent basé sur les jetons Windows AD FS gère les protocoles utilisés par les services ADFS (Active Directory Federation Services) pour authentifier des demandes.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Le service d’authentification de l’agent Web AD FS valide les jetons et cookies entrants.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Ils se trouvent à l’emplacement %systemroot%\SystemData\ADFS\logs.

Solution : soyez vigilant lors de la création de comptes d’utilisateurs à l’aide du composant logiciel enfichable Éditeur d’interface ADSI des services AD LDS. Veillez à toujours créer un compte d’utilisateur avec un mot de passe. Si vous créez un compte d’utilisateur sans mot de passe, utilisez l’Éditeur ADSI pour redéfinir le mot de passe du compte d’utilisateur. En particulier, vérifiez la valeur de la propriété msDS-UserAccountDisabled du compte d’utilisateur. Cette propriété ne doit pas être définie sur Vrai. La valeur doit être Faux ou Non défini. Si la valeur de la propriété msDS-UserAccountDisabled est Vrai, cela signifie que le compte d’utilisateur est désactivé et que le service de fédération ne peut pas valider d’informations d’identification pour ce compte d’utilisateur AD LDS.

Si le service de fédération est en cours d’exécution en tant que système local, vous devez ajouter le compte de l’ordinateur hébergeant le service de fédération au groupe Lecteurs dans le magasin AD LDS.

Si le service de fédération est en cours d’exécution en tant que service réseau, vous devez ajouter le compte de domaine au groupe Lecteurs dans le magasin AD LDS.

Erreur : La demande de jeton provenant de l’application située à l’URL « https://... » ne peut pas être exaucée car l’URL ne correspond pas à une application approbatrice connue.

Solution : cette erreur est renvoyée par le service de fédération de la ressource lorsque l’URL d’application n’identifie aucune application connue. Veillez à ce que l’application ait été ajoutée à la stratégie d’approbation pour le service de fédération.

Avec une application prenant en charge les revendications, vérifiez que l’URL de renvoi est correcte dans le fichier Web.config de l’application et qu’elle correspond à l’URL d’application spécifiée dans la stratégie d’approbation du service de fédération.

Avec une application basée sur une autorisation de jeton Windows NT, vérifiez que l’URL de renvoi est correcte dans le composant logiciel enfichable Gestionnaire des services Internet (IIS), sous <nom du site Web>\Authentification\Agent basé sur les jetons Windows AD FS et qu’elle correspond à l’URL d’application spécifiée dans la stratégie d’approbation du service de fédération.

Erreur : Échec de la validation MAC Viewstate. Si cette application est hébergée par une batterie de serveurs ou un cluster, assurez-vous que la configuration <machineKey> spécifie le même validationKey et le même algorithme de validation.

AutoGenerate ne peut pas être utilisé dans un cluster. Une exception non prise en charge s’est produite pendant l’exécution de la demande Web en cours. Analysez le suivi de la pile pour obtenir davantage d’informations sur l’erreur et son emplacement d’origine dans le code.

Ou

Erreur : Une exception non gérée s’est produite lors de l’exécution de la demande Web actuelle. Les informations relatives à l’origine et l’emplacement de l’exception peuvent être identifiées en utilisant la trace de la pile d’exception ci-dessous.

Solution : à l’aide d’un éditeur de texte, ajoutez le paramètre suivant au fichier Web.config sur l’ordinateur hébergeant le service de fédération, le proxy du service de fédération ou l’agent Web AD FS destiné à rejoindre une batterie :

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Ou

Solution : ajoutez l’élément suivant dans la section <system.web> du fichier Web.config sur les ordinateurs hébergeant le service de fédération, le proxy du service de fédération ou l’agent Web AD FS défini dans la batterie :

<pages enableViewStateMac="false"/>