0

Win 2012 を使用しており、ADFS 3.0 をインストールしています。サーバーは、現時点で単一の証明書利用者 (私のテスト アプリケーション) に対して SAML 2.0 アサーションを生成するように構成されています。

Relying Party 側で Assertions is expired エラーが発生しているため、SAML Tracer を使用して生成されたアサーションを確認したところ、Win 2012 サーバー自体から生成されたアサーションが現在のサーバー時刻から 1 時間で期限切れになっていることがわかりました。

SAML アサーションの一部: NotBefore="2016-05-05T12:19:15.789Z" NotOnOrAfter="2016-05-05T13:19:15.789Z"

その時点での私のサーバー時間は、システムクロックで午後 2 時 29 分でした。

この時間差の原因とそれを修正する方法はありますか?

4

1 に答える 1

1

これは通常、アプリ サーバーに ADFS サーバーからの大幅な時間のずれがあり、アプリの検証ライブラリがこれを許可していないことを意味します。ADFS のタイム スキューの既定の許容値は 5 分だと思いますが、間違っている可能性があります。

まず、時間を同期してみてください。NTP サーバーから同期している場合、通常はこれで問題ありません。

ADFS で SKEW 設定を変更することもできます。サーバーの時刻同期を確保するのに適しているため、これはお勧めしません。

Set-ADFSRelyingPartyTrust -NotBeforeSkew "5" -targetname "your app name"
于 2016-05-07T16:20:35.460 に答える