我收到了记录在 ADFS 跟踪 - 调试下的此错误:
ServiceHostManager.LogFailedAuthenticationInfo: Token of type 'http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName' validation failed with following exception details:
System.ArgumentOutOfRangeException: Not a valid Win32 FileTime.
Parameter name: fileTime
at System.DateTime.FromFileTimeUtc(Int64 fileTime)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)
我正在尝试使用被动身份验证编写一个概念验证 C# 服务提供商的简单方法。
从 C# SP,我创建一个 SAMLRequest 并将浏览器重定向到 ADFS。
ADFS 提示输入表单凭证,输入后,会将此状态发回给我的 SAML2.0 资源消费者:
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/>
我为该依赖方设置了两条声明规则。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
和
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");
我对“不是有效的 Win32 FileTime”异常感到非常困惑,因为看起来好像 ADFS 深处的某些东西正试图将某些东西视为显然没有有效时间戳的东西。
这是从 Azure VM 模板创建的 Windows Server 2012 R2 数据中心版服务器。我所做的只是安装了 ADFS 和 AD 以进行测试。
我认为这不应该有所不同,但服务器时区默认为 UTC。
答案1
事实证明,“不是有效的 Win32 FileTime”异常只是个幌子。第二天,当我在配置了这些声明的情况下进行测试时,我得到了以下状态代码:
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/>
当我收到 Win32 FileTime 错误时,我一定是无意中配置了一些垃圾声明。
进一步深入研究 InvalidNameIDPolicy 状态,我注意到我的请求中的 NameID 格式是:
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
并且看起来这要么是无效的,要么是 ADFS 无法识别的。切换到请求指定以下 NameID 格式策略解决了该问题:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified