概要
如果身份提供程序 (IdP) 在服务器上,使用非密码身份验证 (如 PIV 卡) 并请求包含具有与值的登录提示符参数,身份验证将失败。
原因
出现此问题的原因要转换的提示 = 登录参数,默认提示联盟行为是wauth = 密码和 wfresh = 0在联合身份验证过程。
有关此修复程序
活动目录联合身份验证服务 (AD FS) 现在支持以下选项来控制如何在联盟过程中应处理提示 = 登录参数。这些选项可以设置全局所有联合服务器使用一组 ADFSProperties cmdlet,但只有当在混合模式下运行时服务器场。全局设置会被自动迁移到单独的声明提供程序时场行为 (FBL) 提升到 Windows 服务器 2016年。他们可以查看通过使用get ADFSProperties cmdlet。
注意:设置这些选项可以还单独索赔提供服务器场运行在非混合模式下时,通过添加 AdfsClaimsProviderTrust cmdlet。
-
无。不要不联盟提示 = 登录请求和错误相反。
-
FallbackToProtocolSpecificParameters(默认值)。将转换为提示 = 登录wfresh = 0和Wauth = 窗体联盟期间。如果在原始申请中存在"wauth",它将被保留。
可使用PromptLoginFallbackAuthenticationType参数重写默认"wauth"值。例如,以下命令将提示 = 登录wfresh = 0和wauth = urn: ietf:rfc:2246 .联盟期间一组 AdfsProperties PromptLoginFederation FallbackToProtocolSpecificParameters PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246
-
ForwardPromptAndHintsOverWsFederation。因为它是在联合的过程中向前提示参数。
-
已禁用。在联合过程中放弃提示从请求参数。
以下是一组 ADFSProperties cmdlet 的示例:
-
一组 AdfsProperties PromptLoginFederation 无
-
组-AdfsProperties-PromptLoginFederation ForwardPromptAndHintsOverWsFederation
如何获取此更新
若要添加新的选项,安装 2 月 2018年更新 KB 4077525。
系统必备组件
若要安装此更新,您必须安装 Windows 服务器 2016.
注册表信息
若要应用此更新,您不必对注册表进行任何更改。
重启要求
应用此更新后,必须重新启动计算机。
更新替换信息
此更新不替代以前发布的更新。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
参考资料
了解 Microsoft 用于描述软件更新的术语。
