Konfigurieren der formularbasierten Intranetauthentifizierung für Geräte, die die integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA) nicht unterstützen
Die integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA) ist standardmäßig in Active Directory-Verbunddienste (AD FS) unter Windows Server für Authentifizierungsanforderungen aktiviert, die im internen Netzwerk (Intranet) der Organisation für jede Anwendung auftreten, die einen Browser für die Authentifizierung verwendet. Beispielsweise können Anwendungen browserbasiert sein, die den WS-Verbund oder SAML-Protokolle verwenden, sowie umfangreiche Anwendungen, die das OAuth-Protokoll verwenden. WIA ermöglicht Endbenutzer*innen eine nahtlose Anmeldung bei Anwendungen, ohne ihre Anmeldeinformationen manuell eingeben zu müssen. Einige Geräte und Browser unterstützen WIA jedoch nicht, sodass Authentifizierungsanforderungen von diesen Geräten fehlschlagen. Außerdem entspricht die Verwendung mit bestimmten Browsern, die mit NTLM verhandeln, nicht den Erwartungen. Der empfohlene Ansatz besteht dann in einem Fallback auf die formularbasierte Authentifizierung für solche Geräte und Browser.
AD FS unter Windows Server 2016 und Windows Server 2012 R2 bietet Administrator*innen die Möglichkeit, die Liste der Benutzer-Agents zu konfigurieren, die ein Fallback auf die formularbasierte Authentifizierung unterstützen. Der Fallback wird durch zwei Konfigurationen ermöglicht:
- Die WIASupportedUserAgentStrings-Eigenschaft des Cmdlets
Set-ADFSProperties
- Die WindowsIntegratedFallbackEnabled-Eigenschaft des Cmdlets
Set-AdfsGlobalAuthenticationPolicy
Die WIASupportedUserAgentStrings-Eigenschaft definiert die Benutzer-Agents, die WIA unterstützen. AD FS analysiert die Zeichenfolge des Benutzer-Agents beim Ausführen von Anmeldungen in einem Browser oder Browsersteuerelement. Wenn die Komponente der Benutzer-Agent-Zeichenfolge keiner der Komponenten der Benutzer-Agent-Zeichenfolgen entspricht, die in der WIASupportedUserAgentStrings-Eigenschaft konfiguriert sind, verwendet AD FS die formularbasierte Authentifizierung, sofern das WindowsIntegratedFallbackEnabled-Flag auf TRUE festgelegt ist.
Standardmäßig verfügt eine Neuinstallation von AD FS über übereinstimmende Benutzer-Agent-Zeichenfolgen. Diese können jedoch aufgrund von Änderungen an Browsern und Geräten veraltet sein. Insbesondere verfügen Windows-Geräte über ähnliche Benutzer-Agent-Zeichenfolgen mit geringfügigen Variationen bei den Token. Das folgende Windows PowerShell-Beispiel zeigt optimale Einstellungen für aktuelle Geräte, die heute auf dem Markt sind und nahtlose WIA unterstützen:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
Mit dem obigen Befehl wird sichergestellt, dass AD FS nur die folgenden Anwendungsfälle für WIA abdeckt:
Benutzer-Agents | Anwendungsfälle |
---|---|
MSIE 6.0 | IE 6.0 |
MSIE 7.0; Windows NT | IE 7, IE in Intranetzone. Das Fragment „Windows NT“ wird vom Desktopbetriebssystem gesendet. |
MSIE 8.0 | IE 8.0 (wird von keinen Geräte gesendet und muss daher spezifiziert werden) |
MSIE 9.0 | IE 9.0 (wird von keinen Geräte gesendet und muss daher nicht spezifiziert werden) |
MSIE 10.0; Windows NT 6 | IE 10.0 für Windows XP und neuere Versionen des Desktopbetriebssystems Windows Phone 8.0-Geräte (mit auf „mobil“ festgelegter Einstellung) sind ausgeschlossen, da sie senden Benutzer-Agent: Mozilla/5.0 (kompatibel; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
Windows NT 6.3; Trident/7.0 Windows NT 6.3; Win64; x64; Trident/7.0 Windows NT 6.3; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 8.1, verschiedene Plattformen |
Windows NT 6.2; Trident/7.0 Windows NT 6.2; Win64; x64; Trident/7.0 Windows NT 6.2; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 8, verschiedene Plattformen |
Windows NT 6.1; Trident/7.0 Windows NT 6.1; Win64; x64; Trident/7.0 Windows NT 6.1; WOW64; Trident/7.0 |
Desktopbetriebssystem Windows 7, verschiedene Plattformen |
MSIPC | Microsoft Information Protection and Control-Client |
Windows-Rechteverwaltungsclient | Windows-Rechteverwaltungsclient |
Legen Sie das WindowsIntegratedFallbackEnabled-Flag auf TRUE fest, um ein Fallback zur formularbasierten Authentifizierung für andere Benutzer-Agents als die in der WIASupportedUserAgents-Zeichenfolge erwähnten zu aktivieren.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Stellen Sie außerdem sicher, dass die formularbasierte Authentifizierung für das Intranet aktiviert ist.
Konfigurieren von WIA für Chrome
Sie können Chrome oder andere Benutzer-Agents der AD FS-Konfiguration hinzufügen, die WIA unterstützt. Dies ermöglicht eine nahtlose Anmeldung bei Anwendungen, ohne dass Sie beim Zugriff auf durch AD FS geschützte Ressourcen Anmeldeinformationen manuell eingeben müssen. Führen Sie die folgenden Schritte aus, um WIA in Chrome zu aktivieren:
Fügen Sie in der AD FS-Konfiguration eine Benutzer-Agent-Zeichenfolge für Chrome auf Windows-basierten Plattformen hinzu:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
Fügen Sie außerdem für Chrome unter Apple macOS der AD FS-Konfiguration die folgende Benutzer-Agent-Zeichenfolge hinzu:
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Vergewissern Sie sich, dass die Benutzer-Agent-Zeichenfolge für Chrome jetzt in den AD FS-Eigenschaften festgelegt ist:
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Hinweis
Wenn neue Browser und Geräte veröffentlicht werden, empfiehlt es sich, die Funktionen dieser Benutzer-Agents abzugleichen und die AD FS-Konfiguration entsprechend zu aktualisieren, um die Authentifizierungserfahrung der Benutzer*innen bei Verwendung dieses Browsers und dieser Geräte zu optimieren. Insbesondere wird empfohlen, die WIASupportedUserAgents-Einstellung in AD FS neu auszuwerten, wenn Sie Ihrer Unterstützungsmatrix für WIA einen neuen Geräte- oder Browsertyp hinzufügen.