Un usuario federado se solicita repetidamente las credenciales durante el inicio de sesión en Office 365, Azure o Windows Intune

Seleccione idioma Seleccione idioma
Id. de artículo: 2461628 - Ver los productos a los que se aplica este artículo
Importante: En este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Expandir todo | Contraer todo

En esta página

PROBLEMA

Un usuario federado se pide repetidamente las credenciales cuando el usuario intenta autenticarse en el extremo de servicio de los servicios de federación de Active Directory (AD FS) durante el inicio de sesión en un servicio de nube de Microsoft como Office 365, Microsoft Azure o Windows Intune. Cuando el usuario cancela, el usuario recibe el siguiente mensaje de error:
Acceso denegado

CAUSA

El síntoma indica un problema con la autenticación integrada de Windows con AD FS. Este problema puede producirse si uno o más de las siguientes condiciones son verdaderas:
  • Se utilizó un nombre de usuario incorrecto o la contraseña.
  • Configuración de autenticación de servicios de Internet Information Server (IIS) se configura incorrectamente en AD FS.
  • El nombre principal de servicio (SPN) que está asociado con la cuenta de servicio que se utiliza para ejecutar el conjunto de servidores de federación AD FS está perdido o dañado.

    Nota Esto sólo se produce cuando AD FS se implementa como un conjunto de servidores de federación y no se implementa en una configuración independiente.
  • Uno o más de los siguientes se identifican mediante protección extendida para la autenticación como origen de un ataque de intermediario:
    • Algunos exploradores de Internet de terceros
    • El servidor de seguridad de la red corporativa, el equilibrador de carga de red u otro dispositivo de red publica el servicio de federación de AD FS a Internet de manera que potencialmente pueden reescribir datos de la carga IP. Esto posiblemente incluye los siguientes tipos de datos:
      • Secure Sockets Layer (SSL) de puente
      • Descarga de SSL
      • El filtrado de paquetes con seguimiento de estado

        Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
        2510193Escenarios admitidos para el uso de AD FS para configurar un inicio de sesión único en Azure, Office 365 o en Windows Intune
    • Un control o aplicación de descifrado SSL está instalado o está activa en el equipo cliente
  • Resolución de dominio Name System (DNS) del extremo de servicio de AD FS se realizó a través de la búsqueda de registro CNAME en lugar de a través de una búsqueda de registros.
  • Windows Internet Explorer no está configurado para pasar la autenticación integrada de Windows en el servidor de AD FS.

Antes de iniciar la solución de problemas

Compruebe que el nombre de usuario y la contraseña no son la causa del problema.
  • Asegúrese de que el nombre de usuario correcto se utiliza y está en formato de nombre principal (UPN) del usuario. Por ejemplo, johnsmith@contoso.com.
  • Asegúrese de que se utiliza la contraseña correcta. Para comprobar que se utiliza la contraseña correcta, tendrá que restablecer la contraseña de usuario. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
    Restablecer una contraseña de usuario
  • Asegúrese de que la cuenta no está bloqueada, caducada o usada fuera de las horas de inicio de sesión designado. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
    Administración de usuarios

Compruebe la causa

Para comprobar que los problemas de Kerberos están causando el problema, omitir temporalmente la autenticación Kerberos al habilitar la autenticación basada en formularios en el conjunto de servidores de federación de AD FS. Para ello, siga estos pasos:

Paso 1: Editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS
  1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, realice una copia de seguridad del archivo web.config.
  2. Haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic en Bloc de notasy, a continuación, haga clic en Ejecutar como administrador.
  3. En el archivo el menú, haga clic en Abrir. En el nombre de archivo , escribaC:\inetpub\adfs\ls\web.configy, a continuación, haga clic en Abrir.
  4. En el archivo web.config, siga estos pasos:
    1. Busque la línea que contiene <authentication mode=""> </authentication>y, a continuación, cambiar a <authentication mode="Forms"> </authentication>.
    2. Busque la sección que comienza con <localAuthenticationTypes> </localAuthenticationTypes>y, a continuación, cambie la sección para que la <add name="Forms"></add> entrada aparece en primer lugar, como sigue:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. En el archivo el menú, haga clic en Guardar.
  6. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
Paso 2: Funcionalidad prueba de AD FS
  1. En un equipo cliente que se ha conectado y autenticado a los locales en el entorno de AD DS, inicio de sesión en el portal de servicio de nube.

    En lugar de una experiencia de la autenticación transparente, una basada en formularios sesión debe ser experimentado. Si el inicio de sesión es correcta mediante la autenticación basada en formularios, Esto confirma que existe un problema con Kerberos en el servicio de federación de AD FS.
  2. Revertir a la configuración de cada servidor en el conjunto de servidores de federación AD FS a la configuración anterior de autenticación antes de seguir los pasos descritos en la sección "Solución". Para volver a la configuración de cada servidor de la granja de servidores de federación AD FS, siga estos pasos:
    1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, elimine el archivo web.config.
    2. Mover la copia de seguridad del archivo web.config que creó en el "paso 1: editar el archivo web.config en cada servidor de la granja de servidores de federación AD FS" sección a la carpeta C:\inetpub\adfs\ls\.
  3. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
  4. Compruebe que el comportamiento de autenticación de AD FS vuelve al problema original.

SOLUCIÓN

Para resolver el problema de Kerberos que limita la autenticación de AD FS, utilice uno o varios de los métodos siguientes, según la situación.

Resolución 1: Configuración de autenticación de AD FS de restablecimiento a los valores predeterminados

Contraer esta imagenAmpliar esta imagen
assets folding start collapsed
Si la configuración de autenticación IIS de AD FS es incorrectas o no coinciden con la configuración de autenticación de IIS para los servicios de federación de AD FS y servicios Proxy, es una solución restablecer la configuración de autenticación de IIS para la configuración predeterminada de AD FS.

La configuración de autenticación predeterminada se enumeran en la tabla siguiente.
Contraer esta tablaAmpliar esta tabla
Aplicaciones virtualesNiveles de autenticación
Sitio Web de predeterminado/adfsAutenticación anónima
Sitio Web, adfs/ls de predeterminadoAutenticación anónima
Autenticación de Windows
En cada servidor de federación de AD FS y en cada proxy de servidor de federación de AD FS, utilice la información en el siguiente artículo de Microsoft TechNet para restablecer las aplicaciones virtuales de IIS de AD FS para la configuración de autenticación predeterminada:
Configurar la autenticación en IIS 7
Para obtener más información acerca de cómo resolver este error, consulte los siguientes artículos de Microsoft Knowledge Base:
907273 Solución de errores de HTTP 401 en IIS

871179 Recibe un mensaje de error "Error HTTP 401.1 - No autorizado: se ha denegado el acceso porque las credenciales no son válidas" cuando intenta tener acceso a un sitio web que forma parte de un grupo de aplicaciones de IIS 6.0

Contraer esta imagenAmpliar esta imagen
assets folding end collapsed

Solución 2: Corregir la granja de servidores de federación AD FS SPN

Contraer esta imagenAmpliar esta imagen
assets folding start collapsed
Nota: Pruebe esta solución sólo cuando AD FS se implementa como un conjunto de servidores de federación. No trate de esta resolución en una configuración independiente de AD FS.

Para resolver el problema si el SPN del servicio AD FS está perdido o dañado en la cuenta de servicio de AD FS, siga estos pasos en un servidor de la granja de servidores de federación AD FS:
  1. Abra el complemento de administración de servicios. Para ello, haga clic en Inicio, seleccione Todos los programas, haga clic en Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga doble clic en el servicio de Windows (2.0) de AD FS.
  3. En la Inicio de sesión ficha, tenga en cuenta la cuenta de servicio que se muestra en Esta cuenta.
  4. Haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic en el símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.
  5. Tipo Host de SetSPN ? f ? q /<AD fs="" service="" name=""></AD>, y, a continuación, presione ENTRAR.

    Nota: En este comando, <AD fs="" service="" name=""></AD> representa el nombre de dominio completo (FQDN) del nombre servicio del extremo de servicio de AD FS. No representa el nombre de host de Windows del servidor de AD FS.
    • Si se devuelve más de una entrada para el comando y el resultado está asociado a una cuenta de usuario que no sea la que se anotó en el paso 3, quitar dicha asociación. Para ello, ejecute el siguiente comando:
      Host de SetSPN ? d /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Si se devuelve más de una entrada para el comando y el SPN utiliza el mismo nombre como nombre de equipo del servidor de AD FS en Windows, el nombre del extremo de la federación de AD FS es incorrecto. AD FS se tiene que implementar de nuevo. El nombre completo del conjunto de servidores de federación AD FS no debe ser idéntico al nombre de host de Windows de un servidor existente.
    • Si no existe ya el SPN, ejecute el siguiente comando:
      SetSPN ? un host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Nota: En este comando, <username of="" service="" account=""></username> representa el nombre de usuario que se anotó en el paso 3.
  6. Después de estos pasos se realizan en todos los servidores de la granja de servidores de federación AD FS, haga clic en El servicio de Windows de AD FS (2.0) en el complemento de administración de servicios y, a continuación, haga clic en reiniciar.
Contraer esta imagenAmpliar esta imagen
assets folding end collapsed

Solución 3: Se refiere resolver la protección ampliada para la autenticación

Contraer esta imagenAmpliar esta imagen
assets folding start collapsed
Para resolver el problema si la autenticación correcta impide la protección ampliada para la autenticación, utilice uno de los siguientes métodos recomendados:
  • Método 1: usar Windows Internet Explorer 8 (o una versión posterior del programa) para iniciar sesión en.
  • Método 2: publicar servicios de AD FS en Internet de forma que el puente SSL, descarga de SSL o filtrado de paquetes con estado no volver a escribir los datos de carga IP. La recomendación de mejores prácticas para este propósito es utilizar un servidor de Proxy de AD FS.
  • Método 3: cerrar o deshabilitar supervisión o aplicaciones de descifrado de SSL.
Si no puede utilizar cualquiera de estos métodos, para evitar este problema, puede deshabilitar protección ampliada para la autenticación para los clientes pasivos y activos.

Solución: Deshabilite la protección extendida para la autenticación

AdvertenciaNo se recomienda utilizar este procedimiento como una solución a largo plazo. Deshabilitar protección ampliada para la autenticación debilita el perfil de seguridad de servicio de AD FS no detecta algunos ataques de intermediario en los extremos de la autenticación de Windows integrada.

Nota Cuando se aplica esta solución provisional para la funcionalidad de las aplicaciones de terceros, también debe desinstalar las revisiones del sistema operativo del cliente para protección ampliada para la autenticación. Para obtener más información acerca de las revisiones, consulte el siguiente artículo de Microsoft Knowledge Base:
968389 Protección extendida para la autenticación
Para que los clientes pasivos
Para deshabilitar la protección ampliada para la autenticación de los clientes pasivos, realice el procedimiento siguiente para las siguientes aplicaciones virtuales de IIS en todos los servidores de la granja de servidores de federación AD FS:
  • Sitio Web de predeterminado/adfs
  • Sitio Web, adfs/ls de predeterminado
Para ello, siga estos pasos:
  1. Abra el Administrador IIS y desplácese hasta el nivel que desea administrar. Para obtener información acerca de cómo abrir el Administrador de IIS, vea Abra el Administrador de IIS (IIS 7).
  2. En la vista de características, haga doble clic en autenticación.
  3. En la página de autenticación, seleccione Autenticación de Windows.
  4. En el panel de acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione desactivardesde elprotección ampliada menú desplegable.
Para los clientes de active
Para deshabilitar la protección ampliada para la autenticación de clientes activos, realice el siguiente procedimiento en el servidor principal de AD FS:
  1. Abrir Windows PowerShell.
  2. Ejecute el comando siguiente para cargar el Windows PowerShell para AD FS en:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Ejecute el siguiente comando para deshabilitar la protección extendida para la autenticación:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Volver a habilitar la protección extendida para la autenticación

Para que los clientes pasivos
Para volver a habilitar la protección ampliada para la autenticación de los clientes pasivos, realice el procedimiento siguiente para las siguientes aplicaciones virtuales de IIS en todos los servidores de la granja de servidores de federación AD FS:
  • Sitio Web de predeterminado/adfs
  • Sitio Web, adfs/ls de predeterminado
Para ello, siga estos pasos:
  1. Abra el Administrador IIS y desplácese hasta el nivel que desea administrar. Para obtener información acerca de cómo abrir el Administrador de IIS, vea Abra el Administrador de IIS (IIS 7).
  2. En la vista de características, haga doble clic en autenticación.
  3. En la página de autenticación, seleccione Autenticación de Windows.
  4. En el panel de acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione Aceptaren el menú desplegable de Protección ampliada .
Para los clientes de active
Para volver a habilitar la protección ampliada para la autenticación de clientes activos, realice el procedimiento siguiente en el servidor principal de AD FS:
  1. Abrir Windows PowerShell.
  2. Ejecute el comando siguiente para cargar el Windows PowerShell para AD FS en:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Ejecute el siguiente comando para habilitar la protección extendida para la autenticación:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Contraer esta imagenAmpliar esta imagen
assets folding end collapsed

Resolución 4: Reemplazar registros CNAME con registros de AD FS

Contraer esta imagenAmpliar esta imagen
assets folding start collapsed
Utilice las herramientas de administración de DNS para reemplazar cada registro DNS de Alias (CNAME) que se utiliza para el servicio de federación con una dirección DNS registro (A). Además, compruebe o considere la posibilidad de configuración de DNS corporativa cuando se implementa una configuración DNS Brain. Para obtener más información acerca de cómo administrar los registros DNS, consulte el siguiente sitio Web de Microsoft TechNet:
Administración de registros DNS
Contraer esta imagenAmpliar esta imagen
assets folding end collapsed

Resolución 5: Configurar Internet Explorer como un cliente de AD FS para el inicio de sesión único (SSO)

Contraer esta imagenAmpliar esta imagen
assets folding start collapsed
Para obtener más información acerca de cómo configurar Internet Explorer para el acceso de AD FS, consulte el siguiente artículo de Microsoft Knowledge Base:
2535227 Un usuario federado se solicita inesperadamente que escriba sus credenciales cuando tienen acceso a un recurso de Office 365
Contraer esta imagenAmpliar esta imagen
assets folding end collapsed

Obtener más información

Para ayudar a proteger una red, AD FS usa protección ampliada para la autenticación. Protección extendida para la autenticación puede ayudar a evitar los ataques de intermediario en el que un atacante intercepta las credenciales de un cliente y reenvía a un servidor. Protección contra este tipo de ataques es posible mediante el uso de obras de enlace de canal (CBT). CBT puede necesario, permitida o no requerido por el servidor cuando se establecen las comunicaciones con los clientes.

La configuración de ExtendedProtectionTokenCheck AD FS especifica el nivel de protección extendida para la autenticación que es compatible con el servidor de federación. Estos son los valores disponibles para esta configuración:
  • Requerir: el servidor está totalmente consolidado. Se exige la protección extendida.
  • Permitir: ésta es la configuración predeterminada. El servidor está parcialmente reforzado. Se exige la protección extendida para sistemas implicados que se cambian para admitir esta característica.
  • Ninguno: el servidor es vulnerable. No se exige la protección extendida.
Las tablas siguientes describen cómo funciona la autenticación para los tres sistemas operativos y exploradores, dependiendo de las diferentes opciones de protección ampliada que están disponibles en AD FS con IIS.

Nota Sistemas operativos de cliente de Windows debe tener actualizaciones específicas que se instalan para utilizar eficazmente las funciones de protección extendida. De manera predeterminada, se habilitan las características de AD FS. Estas actualizaciones están disponibles en el siguiente artículo de Microsoft Knowledge Base:
968389 Protección extendida para la autenticación
De forma predeterminada, Windows 7 incluye los binarios apropiados para utilizar la protección extendida.

Windows 7 (o actualizadas correctamente las versiones de Windows Vista o Windows XP)
Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Comunicación de Windows
Cliente Foundation (WCF) (todos los extremos)
FuncionaFuncionaFunciona
Internet Explorer 8FuncionaFuncionaFunciona
Firefox 3.6Se produce un errorSe produce un errorFunciona
Safari 4.0.4Se produce un errorSe produce un errorFunciona
Windows Vista sin actualizaciones adecuadas
Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Cliente WCF (todos los extremos)Se produce un errorFuncionaFunciona
Internet Explorer 8FuncionaFuncionaFunciona
Firefox 3.6Se produce un errorFunciona Funciona
Safari 4.0.4Se produce un errorFunciona Funciona
Windows XP sin actualizaciones adecuadas
Contraer esta tablaAmpliar esta tabla
Configuración deRequierenPermitir (predeterminado)Ninguno
Internet Explorer 8FuncionaFuncionaFunciona
Firefox 3.6Se produce un errorFunciona Funciona
Safari 4.0.4Se produce un errorFunciona Funciona
Para obtener más información acerca de la protección extendida para la autenticación, consulte los siguientes recursos de Microsoft:
968389 Protección extendida para la autenticación
Configurar las opciones avanzadas de AD FS 2.0
Para obtener más información acerca del cmdlet Set-ADFSProperties , visite el siguiente sitio Web de Microsoft:
Conjunto de ADFSProperties

Vídeo: Credencial de bucle pide al iniciar sesión en Office 365 mediante una identidad federada cuenta

Contraer esta imagenAmpliar esta imagen
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.ms/wqsfve
Contraer esta imagenAmpliar esta imagen
assets video2

Vídeo: Los usuarios federados son piden repetidamente las credenciales y no puede iniciar sesión en Office 365

Contraer esta imagenAmpliar esta imagen
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.ms/lifluf
Contraer esta imagenAmpliar esta imagen
assets video2

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 sitio Web o el Foros de Azure de Active Directory .

Los productos de otros fabricantes que analiza este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos

Propiedades

Id. de artículo: 2461628 - Última revisión: viernes, 20 de junio de 2014 - Versión: 22.0
La información de este artículo se refiere a:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Palabras clave: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2461628

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com