Tag Archives: adfs

CRM Login Versuch scheitert mit Login Prompt und 401

Symptom
Beim Versuch sich im CRM einzuloggen erscheint ein Login Prompt. Obwohl der Username und das Passwort richtig eingegeben werden erscheint der Prompt wieder. Nach ein paar Versuchen erscheint “HTTP Error 401 – Unauthorized Access is denied”.

Ausgangslage
Die Authentifizierung am CRM erfolgt über ADFS (Claims Authentication und IFD ist eingeschalten).

Verifizierung
Im Eventlog des CRM Servers erscheint der folgende Eintrag:
Exception message: ID4175: The issuer of the security token was not recognized by the IssuerNameRegistry. To accept security tokens from this issuer, configure the IssuerNameRegistry to return a valid name for this issuer.

Ursache
Der ADFS signiert seine Tokens mit einem Token Signing Cert.
Das CRM (oder genauer die WIF) überprüft anhand eines Thumbprints ob der erhaltene Token von einer Vertrauenswürdigen Stelle stammt.Ändert sich das Zertifikat, so ändert sich auch der Thumbprint und das CRM nimmt den Token nicht mehr entgegen. Das Token Singing Zertifikat wird von einem mittels Auto Certificate Rollover automatisch erneuert wenn es abgelaufen ist.

Lösung
1. Im CRM Deployment Manager Claims Auth und IFD ausschalten (die Konfiguration geht nicht verloren).
2. IIS Reset durchführen
3. Im CRM Deployment Manager Claims Auth und IFD, mit denselben Einstellunge, wieder einschalten.
4. Auf dem ADFS (ADFS Management Console) die Federation Metadata updaten.

http://support.microsoft.com/kb/2686840