none
После аутентификации ADFS в домене, не работает SSO через браузер. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги! Настроили ADFS , все хорошо.

    Вопрос: Как сделать так, что бы поле аутентификации и авторизации в домене, пользователю-которого перекидывают на страницу ADFS больше не вводил учетные данные на страничке ADFS (что бы ADFS понимала заранее что этот пользователь доменный и применяя свое утверждение не выводила бы окно ADFS)?

     Сейчас получается что после аутентификации в домене при доступе на портал с использованием ADFS - опять появляется страница adfs. Это как то настраивается ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    6 ноября 2015 г. 14:14

Ответы

  • есть решение:

    Шаг первый. Доменная авторизация в разных браузерах.
    Я думаю, все вы сталкивались с проблемой, когда IE задалбывает пользователя окном ввода логина-пароля и при этом отказывается их принимать. Если вам известна причина такого поведения, пожалуйста, отпишитесь в комментариях, метод же лечения, думаю, известен всем: необходимо добавить узел CRM в "доверенные узлы", или в "местную интрасеть". Этой операции должно быть достаточно, чтобы авторизация заработала не только в IE, но и в Chrome, так как последний использует те же самые системные настройки, что и IE. С Firefox немного сложнее. Не смотря на то, что Firefox поддерживает NTLM, в графическом интерфейсе нет возможности указать перечень доверенных узлов. Проблема решается установкой дополнений, или правкой системных настроек: http://support.microsoft.com/kb/2786247

    Шаг второй. Доменная авторизация через ADFS.
    При использовании федерации, авторизация в CRM отрабатывает по несколько иному принципу. Все изложенное выше вполне справедливо, однако, в доверенные узлы нужно добавлять уже не адрес самой системы, а адрес вашего ADFS сервера, так как авторизация будет происходить непосредственно на нем. В данном случае, этого должно быть достаточно для IE и Firefox. В Firefox мне даже не пришлось ничего менять, видимо доверие сайту CRM распространяется и на те сайты, куда он перенаправляет запрос авторизации. Сложности возникли только с Chrome. К счастью, проблема известная и лечится выключением расширенной защиты в параметрах сайта ADFS: http://www.powerobjects.com/blog/201...cross-browser/. Существует официальная инструкция от Microsoft, которая рекомендует отключать расширенную защиту не на сервере ADFS, а на каждом конкретном компьютере, но это, на мой взгляд, маразм, так как заранее не известно, какой из браузеров решит выбрать пользователь завтра. В любом случае, уверен что ваш ADFS сервер, если он у вас вообще есть, был развернут исключительно для CRM и вряд ли в ближайшее время будет использован для чего бы то ни было еще. Поэтому, угроза от отключения расширенной защиты минимальна.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    • Помечено в качестве ответа rеstless 9 ноября 2015 г. 13:55
    9 ноября 2015 г. 13:55

Все ответы

  • Портал на Sharepoint? Там в ещё в 2007-м была возможность использовать параллельно пользователей аутентифицированных как через ADFS, так и через обычную аутентификацию Windows. Думаю, эта возможность никуда не делась.


    Слава России!

    6 ноября 2015 г. 14:44
  • Да это-то работает, только получается плохо, придется на странице выбирать (как вы хотите зайти при помощи ADFS или виндовой аутентификации) НО это уже две разные учетки (на основе домена и на основе клайма ADFS). Надо что бы окно ADFS не появлялось, в если появлялось -пускай даже на пару секунд БЕЗ ввода УЗ.Есть конечно предложения добавить адрес ADFS в доверенные в браузере...посмотрим 

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 6 ноября 2015 г. 15:09
    6 ноября 2015 г. 15:08
  • есть решение:

    Шаг первый. Доменная авторизация в разных браузерах.
    Я думаю, все вы сталкивались с проблемой, когда IE задалбывает пользователя окном ввода логина-пароля и при этом отказывается их принимать. Если вам известна причина такого поведения, пожалуйста, отпишитесь в комментариях, метод же лечения, думаю, известен всем: необходимо добавить узел CRM в "доверенные узлы", или в "местную интрасеть". Этой операции должно быть достаточно, чтобы авторизация заработала не только в IE, но и в Chrome, так как последний использует те же самые системные настройки, что и IE. С Firefox немного сложнее. Не смотря на то, что Firefox поддерживает NTLM, в графическом интерфейсе нет возможности указать перечень доверенных узлов. Проблема решается установкой дополнений, или правкой системных настроек: http://support.microsoft.com/kb/2786247

    Шаг второй. Доменная авторизация через ADFS.
    При использовании федерации, авторизация в CRM отрабатывает по несколько иному принципу. Все изложенное выше вполне справедливо, однако, в доверенные узлы нужно добавлять уже не адрес самой системы, а адрес вашего ADFS сервера, так как авторизация будет происходить непосредственно на нем. В данном случае, этого должно быть достаточно для IE и Firefox. В Firefox мне даже не пришлось ничего менять, видимо доверие сайту CRM распространяется и на те сайты, куда он перенаправляет запрос авторизации. Сложности возникли только с Chrome. К счастью, проблема известная и лечится выключением расширенной защиты в параметрах сайта ADFS: http://www.powerobjects.com/blog/201...cross-browser/. Существует официальная инструкция от Microsoft, которая рекомендует отключать расширенную защиту не на сервере ADFS, а на каждом конкретном компьютере, но это, на мой взгляд, маразм, так как заранее не известно, какой из браузеров решит выбрать пользователь завтра. В любом случае, уверен что ваш ADFS сервер, если он у вас вообще есть, был развернут исключительно для CRM и вряд ли в ближайшее время будет использован для чего бы то ни было еще. Поэтому, угроза от отключения расширенной защиты минимальна.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    • Помечено в качестве ответа rеstless 9 ноября 2015 г. 13:55
    9 ноября 2015 г. 13:55