O WAP deve estar associado ao domínio ao publicar aplicativos que usam a Autenticação Integrada do Windows. Este link descreve os requisitos, link . Para usar aplicativos baseados em declarações, você não é obrigado a ingressar no servidor WAP.
Eu configurei o ADFS e o WAP no servidor 2012 R2 para fazer o login no SharePoint 2013. Eu sigo várias instruções, e tudo parece bem, exceto uma coisa: quando eu entro no formulário do ADFS, tudo bem, então eu chego uma página em branco.
Então eu dei uma olhada nos registros WAP e ele retorna essas duas mensagens de erro:
ID = 13019 O Proxy de Aplicativo Web não pode recuperar um tíquete Kerberos em nome do usuário devido ao seguinte erro geral da API: O nome fornecido não é um nome da conta devidamente formado. (0x80070523).
ID = 12027 O Proxy de aplicativo Web encontrou um erro inesperado ao processar a solicitação. Erro: o nome fornecido não é um nome de conta formado corretamente. (0x80070523).
De acordo com o technet , esta é a solução:
" O controlador de domínio recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se a configuração do Proxy de aplicativo Web e do servidor de aplicativos de back-end está configurada corretamente, especialmente a configuração do SPN. Verifique se o Proxy de aplicativo Web está associado ao domínio o mesmo domínio do controlador de domínio para garantir que o controlador de domínio estabeleça confiança com o Proxy de Aplicativo Web. Certifique-se de que a configuração de data e hora no Proxy de Aplicativo Web e no controlador de domínio estejam sincronizados. "
Mas eu realmente não sei por que eles me disseram para entrar no servidor WAP no domínio, já que esse servidor deveria estar em D.M.Z e em WORKGROUP.
A data e a hora no servidor WAP não foram boas, então eu o modifiquei, agora está ok. Não entrei no servidor para o domínio e o SPN está definido com a conta de domínio que está executando o AppPool do meu site do SP.
Eu dou uma olhada no DNS, arquivos HOSTS, certificados, contas ... Não consigo encontrar nenhum erro.
Eu estou querendo saber: devo adicionar qualquer conta o direito de ler a chave privada no meu certificado curinga no servidor WAP ? No Servidor do ADFS, somente a conta de serviço adfs leu diretamente no certificado (chave pv), na conta de domínio somente SP que é usada para executar o pool de aplicativos tem o direito de ler na chave pv do certificado.
Peça mais detalhes, se necessário.
O WAP deve estar associado ao domínio ao publicar aplicativos que usam a Autenticação Integrada do Windows. Este link descreve os requisitos, link . Para usar aplicativos baseados em declarações, você não é obrigado a ingressar no servidor WAP.
Tags kerberos sharepoint adfs