AD FS 3.0 ID do Evento 364 ao criar o MFA (e SSO)

Question

AD FS 3.0 ID do Evento 364 ao criar o MFA (e SSO)

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

2

Eu tenho uma instalação limpa do AD FS 3.0 instalado no Windows Server 2012. Estou tentando criar MFA na minha rede interna usando este Codeplex .

Gerenciamento do AD FS > Políticas de Autenticação

Locais multifatoriais: intranet
Extensão de autenticação de vários fatores selecionada (nome do codeplex)

Quando vou ao meu site adfs ( link ) e faço login com credenciais válidas, recebo a seguinte erro:

No site

Activity ID: 00000000-0000-0000-3d00-0080000000e9

Error time: Mon, 01 Feb 2016 09:04:18 GMT

Cookie: enabled

User agent string: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36

No servidor (Visualizador de eventos > Appl. e Serv. Registros > AD FS > Admin)

Level: Error, Source: AD FS, Event ID: 364, Task Category: None

.

Encountered error during federation passive request.

Additional Data

Protocol Name: Saml

Relying Party: http://adfs.xx.com/adfs/services/trust

Exception details: System.FormatException: Input string was not in a correct format. at System.Text.StringBuilder.AppendFormat(IFormatProvider provider, String format, Object[] args) at System.String.Format(IFormatProvider provider, String format, Object[] args) at Neos.IdentityServer.MultiFactor.AuthenticationProvider.IsAvailableForUser(Claim identityClaim, IAuthenticationContext context) at Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.IsAvailableForUser(Claim identityClaim, IAuthenticationContext authContext) at Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.ProcessContext(ProtocolContext context, IAuthenticationContext authContext, IAccountStoreUserData userData) at Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.Process(ProtocolContext context) at Microsoft.IdentityServer.Web.Authentication.AuthenticationOptionsHandler.Process(ProtocolContext context) at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Eu tentei corrigir o problema verificando os certificados SSL; eles estão todos corretamente instalados. Não há erros de ping. Também verifiquei o código do projeto e também não há falhas para ver.

Alguém sabe sobre esse erro ou me dá um empurrão na direção certa? Qualquer ajuda muito apreciada!

[Atualização 1]

O nível de log é o nível 2; um erro básico.

[Atualização 2]

Veja os Problemas do Codeplex .

[Atualização 3]

Nova versão disponível com bugs corrigidos. As mensagens de erro são fixas.

single-sign-on windows-server-2012-r2 adfs

por djl 01.02.2016 / 10:17

3 respostas

Tags single-sign-on windows-server-2012-r2 adfs

Problema de índice de localização Nginx O encaminhamento de porta no pfSense não funciona

score 1 · Answer 1

A referência do Microsoft TechNet para o ADFS 2.0 declara o seguinte para o Evento 364:

This event can be caused by anything that is incorrect in the passive request. It can occur during single sign-on (SSO) or logout for both SAML and WS-Federation scenarios.

link .

Sei que você está usando uma versão mais recente do ADFS, mas não consegui encontrar uma referência atualizada na documentação do 2012 R2. No entanto, a descrição não é tão útil assim mesmo.

Referências de algumas outras fontes geralmente apontam para problemas de certificados (verificação de revogação, certificado ausente na cadeia) ou um desvio de tempo.

link

Eu sei que você disse que os certificados foram instalados corretamente, mas você pode querer verificar que você pode concluir a verificação de revogação e a cadeia valida. A maneira mais fácil de fazer isso seria abrir o certificado no servidor a partir do snap-in Certificados e verificar se não há erros nos avisos nas guias Geral e Caminho de Certificação.

Eu tive problemas de distorção de tempo me mordendo em outros cenários de autenticação, então, definitivamente, certifique-se de que todos os seus relógios também são compatíveis.

Outro tópico que eu encontrei mencionou um problema com os SPNs. Eu sei que quando configuro um ambiente do ADFS 2012 R2 tive um problema com o registro do SPN porque o FQDN do meu servidor era o mesmo que o nome do meu Serviço de Federação pretendido (adfs.domain.com), por isso não foi possível registrar o SPN do ADFS. Eu consertei isso alterando o nome do host para outra coisa e registrando manualmente os SPNs. Infelizmente, não me lembro se esse problema causou um evento 364.

Uma coisa sobre a qual estou curioso e que você não mencionou se tentou é se você testou ou não a autenticação no ADFS sem a extensão MFA. O nome da extensão exibido na pilha de exceções parece indicar que é parte do problema, mas esse teste pode ajudá-lo a descartar problemas com outros aspectos da implantação do ADFS.

Por último, se nenhuma das opções acima parecer ajudar, voltarei a verificar a documentação da extensão para ter certeza de que você não perdeu nenhuma etapa da configuração. Espero que ajude!

score 1 · Answer 2

Eu enfrentei esse problema no Windows Server 2016 e acabou sendo bastante básico em minha configuração. O problema é que a página não estava ativada. Quando tentei entrar, recebi o erro 364.

O link para a resposta do meu problema é

Set-AdfsProperties –EnableIdpInitiatedSignonPage $True

score 0 · Answer 3

Eu tive o mesmo problema no Windows Server 2016. Acontece que o provedor de MFA definiu LCIDs (idiomas) disponíveis apenas para en-US , mas meu navegador não enviou en ou en-US como um idioma aceito.

A definição de en-US como um idioma aceito no navegador ajudou temporariamente.

Mas, como eu mesmo escrevi o provedor de MFA, defini pelo menos CultureInfo.InvariantCulture.LCID como uma das AvailableLcids em minha IAuthenticationAdapterMetadata implementação. Isso resolveu o problema.