Azure 中 Windows Server 2012R2 上的 ADFS 在被动身份验证时出现“不是有效的 Win32 FileTime”异常

tag-icon tag-icon active-directory adfs
Azure 中 Windows Server 2012R2 上的 ADFS 在被动身份验证时出现“不是有效的 Win32 FileTime”异常

我收到了记录在 ADFS 跟踪 - 调试下的此错误:

ServiceHostManager.LogFailedAuthenticationInfo: Token of type 'http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName' validation failed with following exception details:
 System.ArgumentOutOfRangeException: Not a valid Win32 FileTime.
Parameter name: fileTime
   at System.DateTime.FromFileTimeUtc(Int64 fileTime)
   at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange)
   at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
   at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
   at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
   at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)

我正在尝试使用被动身份验证编写一个概念验证 C# 服务提供商的简单方法。

从 C# SP,我创建一个 SAMLRequest 并将浏览器重定向到 ADFS。

ADFS 提示输入表单凭证,输入后,会将此状态发回给我的 SAML2.0 资源消费者:

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/>

我为该依赖方设置了两条声明规则。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);


c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

我对“不是有效的 Win32 FileTime”异常感到非常困惑,因为看起来好像 ADFS 深处的某些东西正试图将某些东西视为显然没有有效时间戳的东西。

这是从 Azure VM 模板创建的 Windows Server 2012 R2 数据中心版服务器。我所做的只是安装了 ADFS 和 AD 以进行测试。

我认为这不应该有所不同,但服务器时区默认为 UTC。

答案1

事实证明,“不是有效的 Win32 FileTime”异常只是个幌子。第二天,当我在配置了这些声明的情况下进行测试时,我得到了以下状态代码:

<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/>

当我收到 Win32 FileTime 错误时,我一定是无意中配置了一些垃圾声明。

进一步深入研究 InvalidNameIDPolicy 状态,我注意到我的请求中的 NameID 格式是:

urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified

并且看起来这要么是无效的,要么是 ADFS 无法识别的。切换到请求指定以下 NameID 格式策略解决了该问题:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

相关内容