Applies ToWindows Server 2016, all editions Windows Server 2016 Standard Windows Server 2016

概要

如果身份提供程序 (IdP) 在服务器上,使用非密码身份验证 (如 PIV 卡) 并请求包含具有与值的登录提示符参数,身份验证将失败。

原因

出现此问题的原因要转换的提示 = 登录参数,默认提示联盟行为是wauth = 密码和 wfresh = 0在联合身份验证过程。

有关此修复程序

活动目录联合身份验证服务 (AD FS) 现在支持以下选项来控制如何在联盟过程中应处理提示 = 登录参数。这些选项可以设置全局所有联合服务器使用一组 ADFSProperties cmdlet,但只有当在混合模式下运行时服务器场。全局设置会被自动迁移到单独的声明提供程序时场行为 (FBL) 提升到 Windows 服务器 2016年。他们可以查看通过使用get ADFSProperties cmdlet。

注意:设置这些选项可以还单独索赔提供服务器场运行在非混合模式下时,通过添加 AdfsClaimsProviderTrust cmdlet。

  • 。不要不联盟提示 = 登录请求和错误相反。

  • FallbackToProtocolSpecificParameters(默认值)。将转换为提示 = 登录wfresh = 0Wauth = 窗体联盟期间。如果在原始申请中存在"wauth",它将被保留。

    可使用PromptLoginFallbackAuthenticationType参数重写默认"wauth"值。例如,以下命令将提示 = 登录wfresh = 0wauth = urn: ietf:rfc:2246 .联盟期间

    一组 AdfsProperties PromptLoginFederation FallbackToProtocolSpecificParameters PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246

  • ForwardPromptAndHintsOverWsFederation。因为它是在联合的过程中向前提示参数。

  • 已禁用。在联合过程中放弃提示从请求参数。

以下是一组 ADFSProperties cmdlet 的示例:

  • 一组 AdfsProperties PromptLoginFederation 无

  • 组-AdfsProperties-PromptLoginFederation ForwardPromptAndHintsOverWsFederation

如何获取此更新

若要添加新的选项,安装 2 月 2018年更新 KB 4077525

系统必备组件

若要安装此更新,您必须安装 Windows 服务器 2016.  

注册表信息

若要应用此更新,您不必对注册表进行任何更改。  

重启要求

应用此更新后,必须重新启动计算机。  

更新替换信息

此更新不替代以前发布的更新。

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

参考资料

了解 Microsoft 用于描述软件更新的术语

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。