Risoluzione dei problemi relativi a Active Directory Federation Services con accesso avviato da Idp

La pagina di accesso di Active Directory Federation Services (AD FS) può essere usata per verificare se l'autenticazione funziona. Il test si effettua navigando nella pagina e accedendovi. È anche possibile utilizzare la pagina di accesso per verificare che tutte le relying party su SAML 2.0 siano presenti nell’elenco.

Abilitazione della pagina di accesso avviata da Idp

Per impostazione predefinita, AD FS in Windows 2016 non dispone della pagina di accesso abilitata. Per abilitare la pagina, è possibile utilizzare il comando PowerShell Set-AdfsProperties. Seguire questa procedura per abilitare la pagina:

  1. Apri Windows PowerShell.

  2. Immettere Get-AdfsProperties e premere INVIO.

  3. Verificare che la proprietà EnableIdpInitiatedSignonPage sia impostata su false.

    Screenshot showing PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to false.

  4. In PowerShell, immettere Set-AdfsProperties -EnableIdpInitiatedSignonPage $true.

  5. PowerShell non fornisce alcuna conferma per il comando Set-AdfsProperties. Per confermare che la proprietà EnableIdpInitatedSignonPage è impostata su true, immettere nuovamente il comando Get-AdfsProperties e verificare il valore della proprietà.

    Screenshot PowerShell output highlighting that the EnableIdpInitiatedSignonPage property is set to true.

Test di autenticazione

Usare la seguente procedura per testare l'autenticazione AD FS con la pagina di accesso avviata da Idp.

  1. Aprire un browser web e accedere alla pagina di accesso a Idp. L'URL potrebbe essere simile a https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  2. Potrebbe essere richiesto di effettuare l'accesso. Immetti le tue credenziali.

    Screenshot showing the sign-in page and the dialog box prompting for credentials.

  3. Se il processo ha esito positivo, l'accesso è stato eseguito.

Test di autenticazione con accesso continuo

È possibile testare l'esperienza di accesso continuo assicurandosi che l'URL dei server AD FS sia aggiunto alla zona intranet locale delle opzioni Internet. A tale scopo, seguire questa procedura:

  1. In un client di Windows 10, selezionare Avvia e inserire Opzioni Internet e selezionare Opzioni Internet.

  2. Selezionare le scheda Sicurezza, selezionare Intranet locale, quindi selezionare Siti.

    Screenshot of the Security tab of the Internet Properties dialog box showing the Local Intranet option highlighted.

  3. Selezionare Avanzate.

  4. Immettere l’URL, quindi selezionare Aggiungi. Selezionare Chiudi.

    A screenshot of the local intranet popup box requesting the URL to be added for authentication.

  5. Selezionare OK. Quindi selezionare Ok per chiudere le opzioni Internet.

  6. Aprire un browser web e accedere alla pagina di accesso a Idp. L'URL potrebbe essere simile a https://sts.contoso.com/adfs/ls/idpinitiatedsignon.aspx.

  7. Selezionare il pulsante Accedi. L'accesso dovrebbe essere automatico e non dovrebbero essere richieste le credenziali.

    Screenshot of the Sign in page showing that the user wasn't prompted for credentials.

Problemi noti

La pagina di accesso AD FS non può essere usata per avviare un accesso con trust del provider di attestazioni configurato solo con un endpoint passivo WS-Federation. Registrare una relying party, come ClaimsXRay, per verificare che il trust del provider di attestazioni WS-Federation funzioni come previsto.

Passaggi successivi