Am o nouă implementare ADFS care rulează pe Server 2019. După configurare, am testat autentificarea pentru diferite conturi de utilizator folosind /adfs/ls/IdpInitiatedSignon.aspx. Majoritatea contului pe care l-am testat a funcționat bine, fără probleme. Există însă câteva conturi care prezintă următorul comportament:
- Conectarea cu un nume de utilizator/parolă greșit are ca rezultat un mesaj de eroare care indică faptul că numele de utilizator/parola este incorectă. Acest lucru este de așteptat și de dorit.
- Conectarea cu numele de utilizator/parola corecte are ca rezultat o reîmprospătare a paginii, afișând din nou formularul de conectare. Nu există niciun mesaj de eroare. Voi numi asta „reîmprospătați conectarea”.
În jurnalul de evenimente de securitate de pe serverul ADFS, văd următoarele trei evenimente legate de „conectarea de reîmprospătare”:
- Evenimentul 4648 - S-a încercat o conectare folosind acreditări explicite.
- Evenimentul 4624 - Un cont a fost conectat cu succes.
- Evenimentul 4625 - Un cont nu s-a conectat (Motivul eșecului: Nume de utilizator necunoscut sau parolă greșită)
Câteva informații:
- ADFS este configurat să utilizeze un cont de serviciu gestionat de grup numit FsGmsa. Este membru al grupului de acces la autorizare Windows.
- „Formulare” și „Autentificare Microsoft Passport” sunt activate ca metode principale de autentificare. În cele din urmă, voi adăuga Azure MFA.
- Toate testele au fost efectuate pe intranet.
- Toate certificatele sunt valabile și nu au expirat.
- Obțin aceleași rezultate pentru aceiași utilizatori, indiferent de computerul/dispozitivul folosit.
- Nu găsesc asemănări sau diferențe între conturile care funcționează și conturile care nu.
