概要
Id プロバイダー (IdP) サーバーで、PIV カード) などの非パスワード認証を使用して、プロンプトパラメーターの値としてのログインが要求に含まれる場合は、認証が失敗します。
原因
へのログインを prompt =パラメーターを変換するのには、フェデレーションのプロンプトの既定の動作のためにこの問題が発生wauth パスワードと wfresh を = = 0連合の中にします。
修正プログラムについて
Active Directory フェデレーション サービス (AD FS) サポートしている連合の中に、ログインを prompt =パラメーターを処理する方法を制御するのには次のオプションです。これらのオプションを指定できますグローバルにすべての連合サーバーセット ADFSPropertiesコマンドレットを使用していますが、ファームを混在モードで実行している場合にのみです。グローバル設定が自動的には移行個々 のクレーム プロバイダーをファームの動作レベル (FBL) は、Windows Server 2016 に発生します。Get ADFSPropertiesコマンドレットを使用して表示できます。
注: ファームが非混合モードで実行されている場合は、追加 AdfsClaimsProviderTrustコマンドレットを使用してこれらのオプションを個々 のクレーム プロバイダーの設定もできます。
-
なし。ないフェデレーションprompt ログイン要求とエラー代わりにします。
-
FallbackToProtocolSpecificParameters(既定値)。Prompt ログインへの変換wfresh = 0とWauth = フォーム連合の中に。「Wauth」は、元の要求に存在している場合は保持されます。
PromptLoginFallbackAuthenticationTypeパラメーターを使用して、既定の"wauth"の値をオーバーライドできます。たとえば、次のコマンドに変換へのログインを prompt =wfresh = 0とwauth = urn: ietf:rfc:2246 .連合の中に
セット-AdfsProperties-PromptLoginFederation FallbackToProtocolSpecificParameters PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246
-
ForwardPromptAndHintsOverWsFederation。フェデレーションでは、プロンプトパラメーターを転送します。
-
無効です。連合の中に、プロンプトからパラメーター、要求を破棄します。
セット ADFSPropertiesコマンドレットの例を次に示します。
-
セット AdfsProperties PromptLoginFederation なし
-
セット-AdfsProperties-PromptLoginFederation ForwardPromptAndHintsOverWsFederation
この更新プログラムの入手方法
新しいオプションを追加するには、KB 4077525年 2018年 2 月の更新プログラムをインストールします。
必要条件
この更新プログラムをインストールするには Windows Server 2016 がインストールされている.が必要
レジストリ情報
この更新プログラムを適用するには、レジストリに変更を加える必要はありません。
再起動の必要性
この更新プログラムを適用した後、コンピューターを再起動する必要があります。
更新プログラムの置き換えに関する情報
この更新プログラムを適用しても、以前にリリースされた更新プログラムが置き換えられることはありません。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
関連情報
Microsoft がソフトウェア更新プログラムを説明するために使用される用語について説明します。
