3

SSO を使用してサードパーティ システムを ADFS 2.0 に接続しようとしています。証明書利用者信頼と 2 つのクレーム ルールを作成しました

ルール 1

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

ルール 2

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

ADFS サーバーにアクセスできますが、このエラーが発生します

MSIS1000: The SAML request contained a NameIDPolicy that was not satisfied by the issued token. Requested NameIDPolicy: AllowCreate: False Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier: https://xxx.xxx.com/sso. Actual NameID properties: null.

何かご意見は?

4

1 に答える 1

4

この作品は手がかりです:

SPNameQualifier: https://xxx.xxx.com/sso . 実際の NameID プロパティ: null。

そのため、SP には「 https://xxx.xxx.com/sso 」の NameID (エンティティ ID)がありますが、ADFS 側でそのような名前が構成されていません。

Properties [] コンストラクトを使用して、これをクレームに追加する必要があります。

参照: ADFS – SAML 2.0 ID プロバイダーおよび SaaS サービス プロバイダー

于 2013-05-06T19:18:35.227 に答える