none
ADFS WebSSO funktioniert nicht RRS feed

  • Allgemeine Diskussion

  • Hallo

    irgend wie habe ich hier ein kleines Problem und bekomme es nicht hin. Hier sind folgende Server

    Server1: Windows Server 2012 R2
    - Active Directory
    - ADFS (Interne Windows Datenbank)
    - DNS

    Server2: Windows Server 2012 R2
    - Exchange 2013 SP1 (Claim Base Authentication für OWA und ECP)

    Server3: Windows Server 2012 R2
    - Web Applikation Proxy
    - SQL 2014 Standard + Reporting Services

    Server4: Windows Server 2012 R2
    - CRM 2015 (IFD)

    Alles läuft unter einer Domain: int.contoso.de (SplitDomain)
    ADFS: https://adfs.int.contoso.de (Intern A Record, Extern CNAME)
    Exchange: https://owa.int.contoso.de (Intern CNAME, Extern CNAME)
    CRM: https://contoso.int.contoso.de (Intern CNAME, Extern CNAME)

    Von extern läuft alles über eine IP Adresse (DynDNS)

    So Nun zum Problem.

    Wenn ich mich nun mit einem Browser von außen auf dem OWA anmelde funktioniert die Anmeldung ohne Probleme gleiches gilt für die erst Anmeldung am CRM. Wenn ich aber nun mit der Browser Sitzung des OWA auf das CRM wechseln will kommt die Anmelde Seite des ADFS und ich soll mich erneut anmelden nur das funktioniert nicht mehr.
    Eigentlich würde ich ja erwarten das mit der ADFS bereits kennt und mein WEBSSO Ticket verwendet. Das webSSO Timeout steht auf 8 Std. und zwischen beiden Anmeldungen liegen nur Minuten. In allen Protokollen finde ich nichts es wird nichts protokoliert wo ich nun anfangen könnte das Problem zu suchen.

    Probleme mit dem CRM: Seit dem Wechsel auf ClameBaseAuthentification geht der ODATA Service nicht mehr.

    Vielen dank für jeden Tipp.

    Montag, 16. März 2015 18:50

Alle Antworten

  • Hallo Tavok,

    hat der CRM eine eigene Benutzerdatenbank oder er verwendet AD-Benutzer?

    Unter diesen Links hier können Sie weitere Informationen über:

    Federated Web SSO Design

    Configure the AD FS server for claims-based authentication

    Provide Users in Another Organization Access to Your Claims-Aware Applications and Services

    Grüße,

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Dienstag, 17. März 2015 16:02
    Moderator
  • Hallo Michaela,

    Das Dynamics CRM läuft ganz normal mit Windows AD Benutzern.

    Intern über Kerberos Auth funktioniert das alles auch sauber ohne Probleme. Das Problem tritt nur auf sobald ich von Extern über meinen AD UPN und dem Password mich am ADFS anmelde und danach wieder auf eine Andere dem gleichen ADFS Server bekannte URL aufrufe dann werde ich zum ADFS geleitet und dorten wird dann meine vorhandene Anmeldung nicht mehr anerkannt, und wenn ich erneut username und Password eingebe gelange ich in einer endlos schleife und komme vom ADFS nicht mehr weg. Einzig was hilft ist Browser zu und wieder auf dann kann ich mich wieder anmelden.

    Grüße

    Stephan Thiel

    Dienstag, 17. März 2015 21:09
  • Hallo,



    Update, ich habe nun den fehler etwas genauer untersucht und festgestellt das folgedes verhalten sich abzeichnet.

    Browser Öffnen
    Navigate to: https://owa.int.contoso.de/owa
    redirect to  https://adfs.int.contoso.de
    Logon
    redirect to  https://owa.int.contoso.de/owa (OK)
    Neuer Tab
    Navigate to https://owa.int.contoso.de/ecp
    redirect to https://adfs.int.contoso.de
    redirect to  https://owa.int.contoso.de/ecp (OK)
    Neuer Tab
    Navigate to: https:adfs.int.contoso.de/adfs/ls/idpinitiatedsignon.htm (Sie sind Angemeldet.)
    Neuer Tab
    Naviate to: crm.int.contoso.de
    redirect to https://adfs.int.contoso.de
    redirect to https://auth.int.contoso.de
    redirect to https://crm.int.contoso.de (OK)
    TAB Schliesen (OWA / ECP / ADFS)
    Neuer Tab
    Navigate to: https://adfs.int.contoso.de/adfs/ls/idpinitiatedsignon.htm (Sie sind angemeldet.)
    Neuer Tab
    Navigate to: https://owa.int.contoso.de/owa
    redirect to: https://adfs.int.contoso.de (Login Page)
    Anmeldung nicht mehr möglich

    Das problem tritt nur auf sobald ich einmal auf dem CRM war. solange ich das CRM meide kann ich zwischen den einzelen seiten hin und her gehen ohne neue anmeldung.

    Mittwoch, 18. März 2015 10:14
  • Hallo Stephan,

    ist das Security-Update aus dem KB Artikel 3002657 auf allen Servern vorhanden? Wenn ja, dann deinstallieren Sie ihn bitte mal testweise. Bitte beachten Sie, dass ein Neustart obligatorisch ist.

    Grüße,

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 18. März 2015 11:51
    Moderator
  • Hallo Michaela,

    Ich habe das Update deinstalliert und die Server neugestartet. Das Problem ist immer noch genau das gleiche.

    Donnerstag, 19. März 2015 09:38
  • Hallo Stephan,

    in diesem Fall würde ich Ihnen vorschlagen einen Support-Fall bei Microsoft Support zu eröffnen.

    Mit freundlichen Grüßen,

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 19. März 2015 14:58
    Moderator