Press ESC to close

Maxime RastelloMaxime Rastello Microsoft 365, Azure, Identity, Security & Compliance, Enterprise Mobility, Workplace

Erreur 500 et 0x8009030e après la publication d’une application en mode Kerberos dans Web Application Proxy

Grâce à Web Application Proxy, il est possible d’utiliser la délégation contrainte Kerberos (Kerberos Constrained Delegation ou KCD) afin d’authentifier les utilisateurs de manière transparente sur une application gérant l’authentification Windows Intégrée (Windows Integrated Authentication ou WIA).

Cette méthode permet aux utilisateurs connectés au réseau externe à l’entreprise (hotspot wifi, maison, 4G…) de ne saisir leurs idenfiants qu’une seule fois lors de la pré-authentification ADFS (avec un login / mot de passe). Ils seront ensuite automatiquement connectés à l’application grâce à ses mêmes identifiants.

Pour que l’utilisation de KCD soit possible, votre serveur Web Application Proxy doit être joint au domaine de l’entreprise, et l’application en question doit bien entendu supporter l’authentification WIA.

Même si vous avez configuré toutes les étapes dans les règles de l’art, une erreur 500 peut toutefois survenir lorsque vous essayez d’accéder à l’application. La faute à la configuration de la délégation Kerberos, qui n’est pas totalement finalisée. Vous devrez en effet redémarrer le serveur Web Application Proxy après le rajout d’un SPN dans la liste des services autorisés.

Faute de quoi, vous vous retrouverez avec l’erreur suivante dans l’Event Viewer :

Error : Event 12027

Web Application Proxy encountered an unexpected error while processing the request.
Error: No credentials are available in the security package
(0x8009030e).

Warning : Event ID 13019

Web Application Proxy cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error: No credentials are available in the security package
(0x8009030e).

 

error wap kerberos delegation

Comments (1)