Rozwiązywanie problemów związanych z funkcją bezproblemowego logowania jednokrotnego Azure Active Directory
Włączanie bezproblemowego logowania jednokrotnego (SSO) Azure AD może się wiązać z następującymi trudnościami:
- Włączanie bezproblemowego logowania SSO zajmuje dużo czasu.
- W przypadku wyłączenia i ponownego włączenia bezproblemowego logowania SSO u dzierżawcy użytkownicy nie będą mogli korzystać z funkcji SS, dopóki nie wygasną ich bilety Kerberos zapisane w pomięci podręcznej.
- Po pomyślnym włączeniu bezproblemowego logowania SSO użytkownicy nie mogą wybrać opcji Nie wylogowuj mnie. Z tego powodu nie działają scenariusze mapowania SharePoint i OneDrive.
- Bezproblemowe logowanie SSO nie działa w trybie przeglądania prywatnego przeglądarki Mozilla Firefox.
- Bezproblemowe logowanie SSO nie działa w przeglądarce Internet Explorer, gdy jest włączony rozszerzony tryb chroniony.
- Bezproblemowe logowanie SSO nie działa w przeglądarkach mobilnych na urządzeniach z systemem iOS i Android.
- Jeśli użytkownik należy do dużej liczby grup w usłudze Active Directory (AD), bilet Kerberos użytkownika może być zbyt duży, aby go przetworzyć, przez co bezproblemowe logowanie SSO może się nie powieść. Żądania HTTPS usługi Azure AD mogą mieć nagłówki o maksymalnym rozmiarze 50 KB; Bilety Kerberos muszą być mniejsze niż ten limit. Rozwiązaniem jest ograniczenie członkostwa użytkownika w grupach i ponowienie próby.
- W przypadku synchronizacji co najmniej 30 lasów AD można włączyć bezproblemowe logowanie SSO za pomocą programu Azure AD Connect. Funkcję można również włączyć ręcznie u dzierżawcy.
- Dodanie adresu URL usługi Azure AD (https://autologon.microsoftazuread-sso.com) do strefy zaufanych witryn zamiast lokalnej strefy intranetowej może uniemożliwić użytkownikom zalogowanie się.
Lista kontrolna rozwiązywania problemów
Użyj poniższej listy kontrolnej, aby rozwiązać problemy związane z bezproblemowym logowaniem SSO:
- Sprawdź, czy funkcja bezproblemowego logowania SSO jest włączona w programie Azure AD Connect. Jeśli nie możesz włączyć funkcji (na przykład z powodu zablokowanego portu), sprawdź, czy są spełnione wszystkie wymagania wstępne.
- Jeśli u dzierżawcy włączono zarówno funkcję łączenia Azure AD, jak i bezproblemowe logowanie SSO, sprawdź, czy problem nie dotyczy funkcji łączenia Azure AD. Logowanie SSO z funkcji łączenia Azure AD ma pierwszeństwo przed bezproblemowym logowaniem SSO, jeśli urządzenie jest zarejestrowane zarówno w usłudze Azure AD, jak i połączone z domeną. W przypadku logowania SSO z funkcji łączenia Azure AD użytkownik widzi kafelek logowania z informacją „Połączono z systemem Windows”.
- Sprawdź, czy adres URL usługi Azure AD (https://autologon.microsoftazuread-sso.com) jest częścią ustawień strefy intranetowej użytkownika.
- Sprawdź, czy urządzenie firmowe jest dołączone do domeny AD. Urządzenie nie musi być połączone z usługą Azure AD, aby bezproblemowe logowanie SSO działało.
- Sprawdź, czy użytkownik zalogował się na urządzeniu za pomocą konta w domenie AD.
- Sprawdź, czy konto użytkownika pochodzi z lasu AD, w którym włączono bezproblemowe logowanie SSO.
- Sprawdź, czy urządzenie jest połączone z siecią firmową.
- Sprawdź, czy czas urządzenia jest zsynchronizowany z czasem w kontrolerach usługi AD i domeny oraz czy różnica nie jest większa niż pięć minut.
- Sprawdź, czy konto komputera AZUREADSSOACC jest obecne i włączone w każdym lesie AD, w którym chcesz włączyć bezproblemowe logowanie SSO. Jeśli konto komputera zostało usunięte lub brakuje go, możesz utworzyć je ponownie, używając poleceń cmdlet PowerShell.
- Wygeneruj listę istniejących biletów Kerberos na urządzeniu, wykonując polecenie klist w wierszu polecenia. Sprawdź, czy bilety wystawione dla konta komputera AZUREADSSOACC są obecne. Bilety Kerberos użytkowników są zwykle ważne przez 10 godzin. Być może masz inne ustawienia w usłudze AD.
- Jeśli bezproblemowe logowanie SSO zostało wyłączone i ponownie włączone u dzierżawcy, użytkownicy nie będą mogli korzystać z logowania SSO, dopóki nie wygasną ich bilety Kerberos zapisane w pamięci podręcznej.
- Usuń istniejące bilety Kerberos z urządzenia za pomocą poleceniaklist purge i spróbuj ponownie.
- Aby ustalić, czy występują problemy związane z JavaScript, przejrzyj dzienniki konsoli przeglądarki (w obszarze Developer ToolsNarzędzia programistyczne).
- Przejrzyj dzienniki kontrolera domeny.
Konfiguracja bezproblemowego logowania SSO w Azure AD Connect to złożony proces. Konfiguracja i rozwiązywanie ewentualnych problemów wymaga wielu kroków i poleceń. ADSelfService Plus, rozwiązanie do samoobsługowego zarządzania hasłami i logowania SSO do Active Directory, oferuje funkcję logowania SSO, która pozwala użytkownikom zalogować się do domeny AD i uzyskać dostęp do usług Azure AD/Office 365 bez ponownego podawania swoich poświadczeń. Włączenie tej funkcji jest bardzo proste. Sprawdź ten przewodnik, aby dowiedzieć się więcej.
Zalety korzystania z logowania SSO za pomocą ADSelfService Plus:
- Logowanie SSO do głównych aplikacji dla przedsiębiorstw, w tym Azure AD/Office 365, G Suite i Salesforce.
- Możliwość wybrania jednostek organizacyjnych i grup, których użytkownicy otrzymają dostęp do usług Azure AD/Office 365 w ramach logowania SSO.
- Ochrona aplikacji dla przedsiębiorstw obsługujących logowanie SSO za pomocą uwierzytelniania wieloskładnikowego.
Uprość zarządzanie hasłami za pomocą ADSelfService Plus.
Samoobsługowe zarządzanie hasłami i jednokrotne logowanie
ManageEngine ADSelfService Plus to zintegrowane rozwiązanie do samoobsługowego zarządzania hasłami i jednokrotnego logowania dla Active Directory i aplikacji w chmurze. Zapewnij bezpieczeństwo punktu końcowego dzięki rygorystycznym kontrolom uwierzytelniania, w tym biometrii i zaawansowanym kontrolom polityki haseł.