SSO が Chrome と ADFS で機能しない - Support and Troubleshooting

SSO が Chrome と ADFS で機能しない Issue ADFS サーバー経由で SSO を設定している場合、Google Chrome で認証する際に問題が発生します。ServiceNow のいずれかのインスタンス (https://instance.service-now.com など) に移動しようとすると、ADFS サーバーのログインページにリダイレクトされてしまいます。IE を使って同じ URL にアクセスすると、SSO は問題なく機能し、ユーザーは正常にログインできます。

Release Kingston 以降

Cause Windows Server 2012 R2 の Microsoft Active Directory フェデレーションサービス (ADFS) では、認証にブラウザを使用するアプリケーションの組織の内部ネットワーク (イントラネット) 内で発生する認証要求に対して、Windows 統合認証 (WIA) がデフォルトで有効になっています。例えば、WS-Federation プロトコルまたは SAML プロトコルを使用するブラウザベースのアプリケーションや、OAuth プロトコルを使用するリッチアプリケーションなどが該当します。WIA を使用すると、エンドユーザーは認証情報を手動で入力することなく、アプリケーションにシームレスにログオンできます。ただし、一部のデバイスとブラウザは WIA をサポートできないため、そういったデバイスからの認証要求は失敗します。また、NTLM ネゴシエートを行う特定のブラウザでは好ましいエクスペリエンスは得られません。そのようなデバイスやブラウザに対しては、フォームベースの認証にフォールバックすることをお勧めします。

Resolution Windows Server 2016 および Windows Server 2012 R2 の ADFS では、管理者はフォームベースの認証へのフォールバックをサポートするユーザーエージェントの一覧を構成できます。フォールバックは、次の 2 つの設定によって可能になります。

Set-ADFSProperties コマンドレットの WIASupportedUserAgentStrings プロパティ Set-AdfsGlobalAuthenticationPolicy コマンドレットの WindowsIntegratedFallbackEnabled プロパティ WIASupportedUserAgentString は、WIA をサポートするユーザーエージェントを定義します。 ADFS は、ブラウザまたはブラウザコントロールでログインを実行するときに、ユーザーエージェント文字列を分析します。ユーザーエージェント文字列のコンポーネントが、 WIASupportedUserAgentStrings プロパティで構成されているユーザーエージェント文字列のコンポーネントのいずれとも一致せず、 WindowsIntegratedFallbackEnabled フラグが True に設定されている場合、ADFS はフォームベースの認証にフォールバックします。

新規の ADFS インストールでは、ユーザーエージェント文字列と一致するセットがデフォルトで作成されます。しかし、これらはブラウザやデバイスの変更によって古くなっている可能性があります。特に、Windows デバイスでは、似たようなユーザーエージェント文字列のトークンにさまざまなバリエーションがあります。次の Windows PowerShell の例は、シームレスな WIA をサポートする現在市販されているデバイスのセットに最適なガイダンスです。

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"

WMI をサポートする ADFS 構成に Chrome またはその他のユーザーエージェントを追加できます。これにより、ADFS によって保護されているリソースにアクセスする際、認証情報を手作業で入力することなく、アプリケーションにシームレスにログオンできるようになります。Chrome で WIA を有効にするには、次の手順に従います。

ADFS 構成で、Windows ベースのプラットフォーム上の Chrome のユーザーエージェント文字列を追加します。

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT")

同様に、Apple macOS 上の Chrome の場合は、次のユーザーエージェント文字列を ADFS 構成に追加します。

Set-AdfsProperties -WIASupportedUserAgents ((Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X")

Chrome のユーザーエージェント文字列が ADFS プロパティで設定されていることを確認します。

Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents

注：

新しいブラウザとデバイスがリリースされた場合、それらのユーザーエージェントの機能を調整し、それに応じて ADFS 構成を更新して、そのブラウザとデバイスを使用するときのユーザーの認証エクスペリエスを最適化することをお勧めします。具体的には、WIA のサポートマトリクスに新しいデバイスまたはブラウザタイプを追加する際に、ADFS の WIASupportedUserAgents 設定を再評価することをお勧めします。