Апрельский выпуск


Сегодня в номере будет несколько коротких заметок, касающихся общей темы: аутентификации. Довольно часто (и в последние два года, как ни странно, все чаще) спрашивают- а что такое ADFS. Наткнулся на отличную заметку от 2003-го года с весьма хорошим переводом, и именно в переводе хочу ее и предложить к ознакомлению всем тем, кто про это дело что-то слышал, но до сих пор не разбирался с предметом.  Желающие посмотреть ее на языке Шекспира могут не сдерживать свои порывы, и почитать ее как вздумается.  Заметка живет тут, настоятельно рекомендую сесть и вдумчиво прочитать, пока ее не выпилили.

Далее. Все, кто разворачивал AD FS 2012R2, сталкиваются с любопытной штукой при тестировании странички входа.

https://sts.fabrikam.com/adfs/ls/idpinitiatedsignon.htm

Штука выглядит вот так, а появляется потому, как страничку  отключили в 2016 версии по умолчанию, видать из соображений безопасности. Ну как администратор развернет ADFS и забудет про него, а все будут баловаться и заходить на страничку.  Включить ее можно вот так:

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

Еще одно поведение, с которым сталкиваются все администраторы AAD Connect- это ситуация, когда службу разворачивали не вы, а некий другой господин. Именно его аккаунт при установке и попадет в локальную группу ADSyncAdmins, а вашей учетной записи покажут фигу вот с такой  ошибкой:

Сообщение выглядит довольно странно, как и в принципе почти все ошибки AAD Connect (но об этом как-нибудь в другой раз), но его можно легко победить прописавшись в указанной группе, и перезайти в систему с примененным набором прав.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.