Erreur 500 et 0x8009030e après la publication d’une application en mode Kerberos dans Web Application Proxy
Grâce à Web Application Proxy, il est possible d’utiliser la délégation contrainte Kerberos (Kerberos Constrained Delegation ou KCD) afin d’authentifier les utilisateurs de manière transparente sur une application gérant l’authentification Windows Intégrée (Windows Integrated Authentication ou WIA).
Cette méthode permet aux utilisateurs connectés au réseau externe à l’entreprise (hotspot wifi, maison, 4G…) de ne saisir leurs idenfiants qu’une seule fois lors de la pré-authentification ADFS (avec un login / mot de passe). Ils seront ensuite automatiquement connectés à l’application grâce à ses mêmes identifiants.
Pour que l’utilisation de KCD soit possible, votre serveur Web Application Proxy doit être joint au domaine de l’entreprise, et l’application en question doit bien entendu supporter l’authentification WIA.
Même si vous avez configuré toutes les étapes dans les règles de l’art, une erreur 500 peut toutefois survenir lorsque vous essayez d’accéder à l’application. La faute à la configuration de la délégation Kerberos, qui n’est pas totalement finalisée. Vous devrez en effet redémarrer le serveur Web Application Proxy après le rajout d’un SPN dans la liste des services autorisés.
Faute de quoi, vous vous retrouverez avec l’erreur suivante dans l’Event Viewer :
Error : Event 12027
Error: No credentials are available in the security package
(0x8009030e).
Warning : Event ID 13019
Web Application Proxy cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error: No credentials are available in the security package
(0x8009030e).
Thanks Maxime, this solved my issue 🙂