Trois invites de connexion inopportunes s’affichent lors de l’authentification

  • Article

Trois invites de connexion inopportunes s’affichent lors de l’authentification

Il y a quelques jours, j’ai rencontré ce problème courant sur mon serveur ADFS que j’étais justement en train de reconstruire. Comme vous le savez, cette erreur est généralement causée par une configuration incorrecte d’un paramètre Kerberos ou l’utilisation d’un nom différent du nom du serveur pour une application Web (la désactivation OL du scénario de bouclage). Cette fois, c’est différent. Le problème est propre à un serveur ADFS et j’ai pensé qu’il fallait le consigner à titre de référence ultérieure.

AD FS 2.0 est actuellement un bon outil pour rédiger des problèmes dans le journal des événements. Lorsque vous ouvrez l’Observateur d’événements, vous voyez un nœud dédié à AD FS 2.0. Examinez-le. Dans le cas présent, j’ai fini par trouver la clé du problème. Cela a été assez long car de nombreuses explications pouvaient être à l’origine de l’affichage de ces trois invites de connexion particulièrement désagréables. Pour résumer, lorsque j’ai configuré mon serveur AD FS, a) je l’ai configuré pour qu’il s’exécute en tant que compte de domaine et b) j’ai utilisé un certificat que j’avais créé tout spécialement pour la signature de jetons pour AD FS.  Cela a mal tourné car le compte de service utilisé pour AD FS n’avait pas les droits d’accès suffisants à la clé privée de mon certificat de signature de jetons.  Cette situation a, entre autres, provoqué l’affichage des trois invites de connexion.  Pour accorder des droits d’accès au compte de service de la clé privée du certificat, vous devez exécuter Microsoft Management Console (MMC), ajouter le complément Certificats pour l’ordinateur local, ouvrir le nœud Personnel, cliquer avec le bouton droit de la souris sur le certificat de signature de jetons et choisir le menu Gérer la clé privée.  À partir de là, vous accédez à un onglet Sécurité dans lequel vous pouvez ajouter votre compte de service AD FS avec au moins les droits d’accès en lecture à la clé privée.

J’espère que le contenu de cet article fera gagner du temps à beaucoup d’entre vous !

Ce billet de blog a été traduit de l’anglais. L’article d’origine est disponible à la page The Dreaded 3 Login Prompts When Authenticating.