ADFS Single Sign On mit Edge Browser


Hallo,

mit diesem BLOG Beitrag möchte ich eine getestete Lösung liefern für die Situation, dass in Unternehmen sowohl Office365 als auch Windows 10 eingesetzt wird.

Microsoft hat mit Windows 10 den Browser Edge hinzugefügt. Dieser Browser erscheint “gefühlt” flotter und moderner als der Internet Explorer 11, der sich ebenfalls als Bestandteil des Betriebssystems Windows 10 findet. Leider ist es OotB nicht möglich auf die Portal Seite einer Office365 Umgebung zu wechseln und dazu die Möglichkeiten des SSO mithilfe von ADFS zu nutzen. Edge fordert dann immer wieder zum Anmelden auf, was der Internet Explorer “freundlicherweise” nicht macht.

Die Lösung stellt sich wie folgt dar:

  1. Einloggen auf der Konsole des / der ADFS Server
  2. Starten einer PowerShell (Admin)
  3. Ausführen des Befehls:
    Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
    Dieser listet die unterstützten Browser der ADFS Konfiguration auf
    image
    Der Edge Browser fehlt in dieser Liste
  4. Ausführen des Befehls:
    Set-ADFSProperties -WIASupportedUserAgents (((Get-ADFSProperties).WIASupportedUserAgents)+’Mozilla/5.0′)
    Dies fügt Browser mit der Kennung Mozilla/5.0 in die Liste der unterstützten Browser hinzu
  5. Ausführen des Befehls:
    Set-ADFSProperties -WIASupportedUserAgents (((Get-ADFSProperties).WIASupportedUserAgents)+’Edge/12′)
    Dies fügt Browser mit der Kennung Edge/12 in die Liste der unterstützten Browser hinzu.
  6. Nochmaliges Ausführen des Befehls:
    Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
    zeigt, dass die beiden Browser (Kennungen) nun in die Liste der unterstützten Browser aufgenommen sind
    image
  7. Neustart des ADFS Dienstes…
    image

Ab jetzt sollte SSO mit dem Edge Browser funktionieren !!

Hinweis: Falls es NICHT funktioniert, gibt es die Möglichkeit den sogenannten “ExtendedProtectionTokenCheck” auszuschalten. Dieser steht normalerweise auf dem Wert “Allow”. Dadurch wird die ADFS Konfiguration allerdings “angreifbarer” durch Man-in-the-Middle Angriffe !!!

Dazu bitte auch die aus der TechNet entnommene Beschreibung beachten:

image

Quelle: https://technet.microsoft.com/en-us/library/ee892317.aspx

Das Ausschalten der Überprüfung erfolgt wieder in einer administrativen PowerShell mithilfe des Kommandos:

Set-ADFSProperties –ExtendedProtectionTokenCheck None

und anschließendem Neustart des ADFS Dienstes.

Diese Beschreibung habe ich dem BLOG Eintrag von Dale Hayter entnommen (Quelle: https://www.blackforce.co.uk/2016/05/11/edge-sso-adfs)

Viel Erfolg beim Testen !!

—Martin

Advertisements

I am an independent IT Consultant focussing an Microsoft based technologies, mainly MS SharePoint MS Active Directory MS Office365 Training

Veröffentlicht in Office365

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: