Eu tenho uma nova implementação do ADFS em execução no Server 2019. Após a instalação, testei a autenticação para várias contas de usuário usando o /adfs/ls/IdpInitiatedSignon.aspx. A maior parte da conta que testei funcionou bem sem problemas. Existem algumas contas, no entanto, que exibem o seguinte comportamento:
- Entrar com um nome de usuário/senha incorretos resulta em uma mensagem de erro indicando que o nome de usuário/senha está incorreto. Isso é esperado e desejável.
- Fazer login com o nome de usuário/senha corretos resulta em uma atualização de página, exibindo o formulário de login novamente. Não há nenhuma mensagem de erro. Vou chamar isso de "atualizar login" .
No log de eventos de segurança no servidor ADFS, vejo os três eventos a seguir relacionados à "atualização de entrada":
- Evento 4648 - Foi tentado um logon usando credenciais explícitas.
- Evento 4624 - Uma conta foi conectada com sucesso.
- Evento 4625 - Uma conta falhou ao fazer logon (motivo da falha: nome de usuário desconhecido ou senha incorreta)
Algumas informações:
- O ADFS está configurado para usar uma conta de serviço gerenciada por grupo chamada FsGmsa. É membro do Grupo de Acesso de Autorização do Windows.
- "Formulários" e "Autenticação do Microsoft Passport" estão habilitados como os principais métodos de autenticação. Eventualmente, adicionarei o Azure MFA.
- Todos os testes foram executados na intranet.
- Todos os certificados são válidos e não expiraram.
- Obtenho os mesmos resultados para os mesmos usuários, independentemente do computador/dispositivo usado.
- Não consigo encontrar semelhanças ou diferenças entre as contas que funcionam e as contas que não funcionam.
O Grupo de Acesso de Autorização do Windows não tinha autoridade para ler a propriedade tokenGroupsGlobalAndUniversal nas contas em questão. Estas são as etapas que tomei para corrigir o problema:
Você precisará repetir as etapas 3 a 12 para as outras contas em questão. Depois, teste suas contas e elas devem entrar sem problemas.