Solución de problemas de Servicios de federación de Active Directory (AD FS): inicio de sesión por el IDP

La página de inicio de sesión de Servicios de federación de Active Directory (AD FS) se puede usar para comprobar si la autenticación funciona. Para realizar esta prueba, vaya a la página e inicie sesión. Además, puede usar la página de inicio de sesión para comprobar que se muestran todos los usuarios de confianza de SAML 2.0.

Habilitación de la página de inicio de sesión por el IDP

De forma predeterminada, AD FS en Windows 2016 no tiene habilitada la página de inicio de sesión. Para habilitar la página, puede usar el comando Set-AdfsProperties de PowerShell. Use el procedimiento siguiente para habilitar la página:

  1. Abra Windows PowerShell.

  2. Escriba Get-AdfsProperties y presione Entrar.

  3. Compruebe que la propiedad EnableIdpInitiatedSignonPage está establecida en false.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. En PowerShell, escriba Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.

  5. PowerShell no proporciona una confirmación para el comando Set-AdfsProperties. Para confirmar que la propiedad EnableIdpInitatedSignonPage está establecida en true, vuelva a escribir el comando Get-AdfsProperties y compruebe el valor de la propiedad .

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Probar autenticación

Use el procedimiento siguiente para probar la autenticación de AD FS con la página de inicio de sesión por el IDP.

  1. Abra un explorador web y vaya a la página de inicio de sesión por el IDP. La dirección URL podría parecerse a https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Se le pedirá que inicie sesión. Escriba sus credenciales.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Si el proceso se realiza correctamente, es que ha iniciado sesión.

Prueba de la autenticación con el inicio de sesión de conexión directa

Para probar la experiencia de inicio de sesión de conexión directa, asegúrese de que la dirección URL de los servidores de AD FS esté agregada a la zona de intranet local de las opciones de Internet. Utilice el siguiente procedimiento:

  1. En un cliente de Windows 10, seleccione Iniciar, escriba opciones de Internet y seleccione Opciones de Internet.

  2. Seleccione la pestaña Seguridad, elija Intranet local y, luego, Sitios.

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Seleccione Advanced (Avanzadas).

  4. Escriba la dirección URL y elija Agregar. Seleccione Cerrar.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Seleccione Aceptar. A continuación, seleccione Aceptar para cerrar las opciones de Internet.

  6. Abra un explorador web y vaya a la página de inicio de sesión por el IDP. La dirección URL podría parecerse a https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Seleccione el botón Iniciar sesión. Debería iniciar sesión automáticamente y sin que se le pidan credenciales.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Problemas conocidos

La página de inicio de sesión de AD FS no se puede usar para iniciar sesión con una confianza del proveedor de notificaciones que esté configurada solo con un punto de conexión pasivo WS-Federation. Registre un usuario de confianza como ClaimsXRay para comprobar que una confianza de proveedor de notificaciones de WS-Federation funciona según lo previsto.

Pasos siguientes