摘要
如果您使用非密碼驗證 (如 PIV 卡) 在身份識別提供者 (IdP) 伺服器上,而要求內容包含提示字元具有參數,做為值的登入,驗證將會失敗。
原因
因為預設提示聯盟行為是要轉換的提示 = 登入參數,就會發生這個問題wauth = 密碼 & wfresh = 0期間同盟。
有關此修正程式
使用中目錄的同盟服務 (AD FS)] 現在支援下列選項以控制提示 = 登入的參數應該如何處理聯盟期間。這些選項可以設定全域所有的同盟伺服器藉由設定 ADFSProperties cmdlet 大致相同,但只有在伺服陣列以混合的模式執行時,才。通用設定遷移自動到個別的宣告的提供者時伺服陣列的行為層級 (FBL) 之所以引發是為了 Windows 伺服器 2016年。他們可以檢視使用get ADFSProperties指令程式。
注意這些選項也可以設定個別的宣告的提供者在伺服器陣列以非混合模式執行時,請使用新增 AdfsClaimsProviderTrust指令程式。
-
無。不聯盟提示 = 登入要求和錯誤相反。
-
FallbackToProtocolSpecificParameters(預設值)。翻譯提示 = 登入wfresh = 0和Wauth = 表單期間聯盟。如果原始的要求中,有"wauth",它會被保留。
使用PromptLoginFallbackAuthenticationType參數可以覆寫預設的"wauth"值。例如,下列命令會轉譯提示 = 登入wfresh = 0和wauth = urn: ietf:rfc:2246 .聯盟期間
設定 AdfsProperties PromptLoginFederation FallbackToProtocolSpecificParameters PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246
-
ForwardPromptAndHintsOverWsFederation。聯盟期間所顯示的原狀,請將轉寄提示參數。
-
停用。在聯合期間捨棄提示參數,請從要求。
設定 ADFSProperties指令程式的範例如下:
-
設定 AdfsProperties PromptLoginFederation 無
-
設定 AdfsProperties-PromptLoginFederation ForwardPromptAndHintsOverWsFederation
如何取得此更新程式
若要新增新的選項,安裝年 2 月的 2018年更新 KB 4077525。
先決條件
若要安裝這個更新,您必須 Windows 伺服器 2016 安裝.
登錄資訊
若要套用此更新程式,您不需要對登錄進行任何變更。
重新啟動需求
套用此更新之後,您必須重新啟動電腦。
更新取代資訊
此更新不會取代先前發行的更新。
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
參考
深入了解 Microsoft 會使用來描述軟體更新術語。
