ADFS认证 - IE8可用，Chrome失败

在事件查看器中，您会看到一个带有“状态：0xc000035b”的“审核失败”事件。 您可以通过关闭adfs / ls Web应用程序的“扩展保护”来规避此问题。
网络上有几篇关于此问题的文章，例如Microsoft的AD FS论坛上的“0xc000035b错误在Windows集成登录期间”的主题。引用：
要关闭扩展保护，请在AD FS服务器上启动IIS Manager，然后在左侧树形视图中访问Sites->Default Web Site->adfs->ls。选择“/ adfs / ls”文件夹后，双击身份验证图标，然后右键单击Windows身份验证并选择“高级设置...” 在高级设置对话框中，选择关闭扩展保护。
这个问题在我所知道的几种情况下会发生：使用Firefox 3.5+或Chrome浏览器，使用某些特定的NTLM配置（我手头没有详细信息），以及使用Fiddler工具（请参见"AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger" TechNet文章和包含更多技术背景信息的"Fiddler and Channel-Binding-Tokens"博客文章）。
（请注意，我无处找到如何使NTLM身份验证从Google Chrome和Firefox 3.5+等浏览器中正常工作而不关闭“扩展保护”的任何信息。我的意思是，Internet Explorer可以使用“扩展保护”，为什么Chrome或Firefox不能呢？或者说这是Chrome/Firefox实现的错误/限制，例如在它们使用Windows NTLM库方面？）

关闭扩展保护并不是解决方案。你需要将Chrome添加到ADFS中以供识别，然后将该站点添加到受信任列表中。

确保ADFS支持Chrome。 因此，如果运行以下命令：

$a=Get-Adfsproperties 
$a.WIASupportedUserAgents

然后将Chrome添加到列表中。

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

现在，我们需要告诉Chrome应允许该网站使用Windows集成身份验证。
为此，您需要进行以下操作： 点击“高级” 点击“代理设置” 它会打开IE属性。 点击“安全性”并选择“本地 Intranet”，然后添加ADFS的联合服务名称。 点击关闭并在IE属性下应用。 重新启动Chrome，下次尝试访问该网站时，它不会要求您输入凭据。
这是工作中提出的一种解决方案，可允许Chrome实现SSO而无需禁用扩展保护。感谢微软支持。

来自微软：http://technet.microsoft.com/en-us/library/hh852537.aspx

除非Firefox、Google Chrome和Safari支持扩展认证保护，否则建议安装并使用Internet Explorer 10或更高版本。如果您想要在Firefox、Google Chrome或Safari中使用单一登录Office 365，则有两种其他解决方案： （1）从计算机中卸载扩展保护补丁。 （2）更改Active Directory联合身份验证服务2.0服务器上的扩展保护设置。有关详细信息，请参见TechNet Set-ADFSProperties页面上的“ExtendedProtectionTokenCheck”。