none
Zertifikatsbasierte Authentifizierung am Office 365 über ADFS 3.0 und WAP RRS feed

  • Frage

  • Hallo,

    wir haben aktuell einen ADFS 3.0 mit einem Proxy (WAP) für die SSO Authentifizierung am Office 365 im Einsatz.
    Wir möchten zusätzlich zu SSO die Zertifikatsbasierte Authentifizierung am Office 365 ermöglichen.

    Wenn wir den Proxy Server umgehen(durch einen lokalen DNS Eintrag), funktioniert die zertifikatsbasierte Authentifizierung ohne Probleme.

    Wenn wir jedoch über den Proxy gehen funktioniert es nicht.
    Im Debug Log des ADFS Servers steht dann folgender Fehler:

    Device cert received but we need a client cert, redirect to tlsclient endpoint at ......

    Wir wüssten gerne was "Device cert received but we need a client cert" zu bedeuten hat.
    Auf unserem Testrechner ist ein gültiges Benutzerzertifikat hinterlegt. Dieses scheint er aber nicht zu akzeptieren.
    Die Geräteauthentifizierung wird nicht verwendet.

    Zudem ist im gesamten Debug Log des ADFS folgender Ausdruck zu finden: "Das Handle ist ungültig"

    Mit freundlichen Grüßen


    • Bearbeitet Cem-Ali Dienstag, 5. Januar 2016 13:30
    Dienstag, 5. Januar 2016 13:29

Antworten

  • Hallo Cem-Ali, 

    jop treffen auch auf DirSync. 

    Ich würde euch aber auch empfehlen auf AD Connect zu gehen. DirSync ist mittlerweile Out of Date und wird nicht mehr supported. AD Connect läuft zudem um einiges stabiler und ihr habt mehr Konfigrationsmöglichkeiten. 

    LG

    Flo 

    P.s. hab wohl mit dem kleinen Konfigteil ins HTML geschossen :D 


    Kind regards, Flo


    Dienstag, 5. Januar 2016 15:43
  • Schau mal bitte 
    %windir%\Microsoft.NET\Framework64\[version]\config\machine.config 

    [version] should be equal to v1.0.3705v1.1.4322v2.0.50727 or v4.0.30319

    Da am ende entsprechend den Code einbauen.


    Kind regards, Flo

    Freitag, 15. Januar 2016 13:04

Alle Antworten

  • Hallo Cem, 

    das ist ein bekanter Bug vom Azure AD Connect. Ich hatte den Fehler auch mehrfach in dieser oder einer anderen Art in der Vergangenheit. Dazu hier ein entsprechender Post Azure AD Connect in der Praxis

    Versuch mal folgendes: 


    1. Konfiguriert den Proxyserver in den Internet Einstellungen eures Sync Service Accounts.
    2. Hängt am Ende der .NET 45 Framework machine.config folgende Parameter an:
                                                                       
    <system.net>
    <defaultProxy>
    <proxy usesystemdefault=”true” proxyaddress=”http://proxy-ip:80&#8243; bypassonlocal=”true” />
    </defaultProxy>
    </system.net>

  • Konfiguriert den Proxyserver in den Internet Einstellungen eures Sync Service Accounts.
  • Hängt am Ende der .NET 45 Framework machine.config folgende Parameter an:
                                                                       
    <system.net>
    <defaultProxy>
    <proxy usesystemdefault=”true” proxyaddress=”http://proxy-ip:80&#8243; bypassonlocal=”true” />
    </defaultProxy>
    </system.net>
  • Konfiguriert den Proxyserver in den Internet Einstellungen eures Sync Service Accounts.
  • Hängt am Ende der .NET 45 Framework machine.config folgende Parameter an:
                                                                       
    <system.net>
    <defaultProxy>
    <proxy usesystemdefault=”true” proxyaddress=”http://proxy-ip:80&#8243; bypassonlocal=”true” />
    </defaultProxy>
    </system.net>

  • Kind regards, Flo

    Dienstag, 5. Januar 2016 14:09
  • Hallo,

    leider funktioniert der Reply Button unten nicht....

    Wir haben aktuell kein Azure AD Connect im Einsatz sondern DirSync.

    Treffen die Anpassungen am .NET 45 auch zu wenn kein Azure AD Connect im Einsatz ist?

    Danke

    Dienstag, 5. Januar 2016 15:08
  • Hallo Cem-Ali, 

    jop treffen auch auf DirSync. 

    Ich würde euch aber auch empfehlen auf AD Connect zu gehen. DirSync ist mittlerweile Out of Date und wird nicht mehr supported. AD Connect läuft zudem um einiges stabiler und ihr habt mehr Konfigrationsmöglichkeiten. 

    LG

    Flo 

    P.s. hab wohl mit dem kleinen Konfigteil ins HTML geschossen :D 


    Kind regards, Flo


    Dienstag, 5. Januar 2016 15:43
  • Hallo,

    leider kommen wir nicht weiter.
    Könnten Sie etwas genauer beschreiben, was getan werden muss?
    Zu Punkt 1: Was muss genau getan werden?
    Zu Punkt2: Wo befindet sich die Config datei? Auf welchem Server?

    Danke!

    Freitag, 15. Januar 2016 12:29
  • Schau mal bitte 
    %windir%\Microsoft.NET\Framework64\[version]\config\machine.config 

    [version] should be equal to v1.0.3705v1.1.4322v2.0.50727 or v4.0.30319

    Da am ende entsprechend den Code einbauen.


    Kind regards, Flo

    Freitag, 15. Januar 2016 13:04
  • OK, jetzt habe ich zumindest schonmal den Pfad :D

    Jetzt brauche ich nur noch die Info auf welchem server.

    Auf dem Proxy auf dem ADFS Server oder auf dem Server wo DirSync läuft.

    Vielen Dank :)

    Freitag, 15. Januar 2016 13:09