设想
AD 客户端计算机上的用户打开浏览器并输入服务提供商的 https URL。
浏览器重定向到 ADFS 3.0 IdP,并提示用户输入其 AD 用户名和密码。
浏览器重定向到 SP URL 并返回 IdP 六次,直到返回以下错误。
对于标准 AD 用户
Activity ID: 00000000-0000-0000-1f00-0080000000f9
Relying party: SAM6
Error time: Thu, 01 Dec 2016 10:38:48 GMT
Cookie: enabled
User agent string: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0)
Gecko/20100101 Firefox/49.0
如果 AD 用户尝试登录,则会出现以下错误
Activity ID: 00000000-0000-0000-1f00-0080000000f8
Relying party: SAM6
Error time: Thu, 01 Dec 2016 10:38:48 GMT
Cookie: enabled
User agent string: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0)
Gecko/20100101 Firefox/49.0
Google 没有返回任何有关这些错误的报告,请在此处发布以查看是否有人遇到过这些错误。已检查 Google 返回的相关结果。
答案1
发现问题所在,一旦用户尝试登录依赖方信任服务器,它就会启动 SAML 登录程序,并对用户进行身份验证。但是,作为依赖方信任服务器上身份验证过程的一部分,需要访问一个 ID 文件,这会导致生成另一个 SAML 断言,一旦删除此要求,问题就解决了。