Computador fora do domínio não se autentica no ADFS

Após realizar a implementação da federação no ambiente com o ADFS e começar os testes de acesso as mailbox no Office 365 através de navegadores, notei um fato curioso; os computadores que não estavam no domínio não conseguiam realizar o login no ADFS. Ao tentar se logar no Office 365 e inserir o e-mail, naturalmente a pagina o redireciona para o ADFS, porem ao ser redirecionado, era aberto um pop-up de solicitação de senha, que mesmo inserindo as credenciais ele reabria logo em seguida solicitando novamente e assim não permitindo o login.

Non-domain machine ADFS error

O fato mais estranho é que isso ocorria somente internamente com autenticações diretas no ADFS, caso eu realizasse a autenticação externamente contactando os servidores de WAP (Proxy), eu conseguia realizar o login normalmente – sem me abrir pop-up, somente inserindo a credencial na página de login.

ADFS Server

 

Resolução:

Para sanar o problema eu desabilitei a opção ExtendedProtectionTokenCheck com seguinte comando em todos os ADFSs da farm:

Set-ADFSProperties –ExtendedProtectionTokenCheck None

 

Em seguida faça o restart do serviço de ADFSs de todos da farm e o problema esta resolvido.

Observação: O ExtendedProtectionTokenCheck serve para evitar ataques de man-in-the-middle. Portanto esteja ciente que desabilita-la será um downgrade em segurança do ambiente.

Abraços!

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *