google chrome - support - Autenticación ADFS-IE8 funciona, Chrome falla

De Microsoft: http://technet.microsoft.com/en-us/library/hh852537.aspx

A menos y hasta que Firefox, Google Chrome y Safari sean compatibles con la protección ampliada para la autenticación, la opción recomendada es instalar y utilizar Internet Explorer 10 o posterior. Si desea utilizar el inicio de sesión único para Office 365 con Firefox, Google Chrome o Safari, existen otras dos soluciones: (1) Desinstale los parches de Protección ampliada de su computadora. (2) Cambie la configuración de la protección ampliada en el servidor de Active Directory Federation Services 2.0. Consulte "ExtendedProtectionTokenCheck" en la página TechNet Set-ADFSProperties para obtener más información.

Desactivar la protección extendida no es la respuesta. Agregue Chrome para que adfs pueda reconocerlo y luego agregue el sitio a la lista de confianza.

Asegúrese de que chrome es compatible con adfs. Por lo tanto, si ejecuta los siguientes comandos:

$a=Get-Adfsproperties $a.WIASupportedUserAgents

Luego agrega chrome a la lista.

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")

Ahora, tendremos que decirle a Chrome que debería permitir la autenticación integrada de Windows para el sitio.

Para hacer esto, tendrá que ir a la configuración: Haga clic en Avanzado Haga clic en Configuración de Proxy Debería abrir sus Propiedades de IE. Haga clic en Seguridad y seleccione "Intranet local" y agregue el nombre del servicio de federación de su ADFS aquí. Haga clic en cerrar y aplicar bajo las propiedades de IE. Reinicie Chrome y la próxima vez que intente acceder al sitio, no le pedirá las credenciales.

Esta fue una solución presentada en el trabajo para permitir el SSO con Chrome SIN DESACTIVAR la protección ampliada. Saludos para el apoyo de la EM.

En el visor de eventos, verá un evento ''Error de auditoría'' con "Estado: 0xc000035b". Puede evitar este problema desactivando la ''Protección extendida'' para la aplicación web adfs / ls.

Hay varios artículos en la Web sobre esto, por ejemplo, el hilo "0xc000035b error durante el inicio de sesión integrado de Windows" en el foro AD FS de Microsoft. Citando

Para desactivar la protección extendida, en el servidor de AD FS, inicie el Administrador de IIS, luego, en la vista de árbol del lado izquierdo, acceda a Sitios -> Sitio web predeterminado -> adfs -> ls. Una vez que haya seleccionado la carpeta "/ adfs / ls", haga doble clic en el ícono Autenticación, luego haga clic derecho en Autenticación de Windows y seleccione Configuración avanzada ... En el cuadro de diálogo Configuración avanzada, seleccione Desactivado para Protección extendida.

Este problema ocurre en varias situaciones que conozco: al usar Firefox 3.5+ o Chrome, al usar alguna configuración NTLM específica para la cual no tengo los detalles a la mano, y al usar Fiddler (consulte la sección "AD FS 2.0: Solicitud continua para las credenciales mientras se utiliza el depurador web de Fiddler " Publicación del artículo de TechNet y la publicación del blog " Fiddler and Channel-Binding-Tokens " que contiene más información técnica de fondo).

(Tenga en cuenta que en ninguna parte puedo encontrar información sobre cómo hacer que la autenticación NTLM para AD FS, por ejemplo, Google Chrome y Firefox 3.5+ funcione sin desactivar la "Protección ampliada". Quiero decir, Internet Explorer funciona con la "Protección extendida". ¿No es Chrome o Firefox? ¿O se trata de una restricción / error de implementación de Chrome / Firefox, por ejemplo, en su uso de la biblioteca de Windows NTLM?)