我们公司有一个外部 Web 应用程序,将在托管公司使用。他们向我们发送了 PingOne 邀请 SSO 的设置。一切看起来都很简单。我开始在我们组织中设置 ADFS 环境。
- ADFS01 - 内部服务器,也是组织中 ADFS 场中的第一个服务器。服务器 2016
- ADFSProxy01 - DMZ 中的 ADFS 代理服务器(已映射到外部 IP)。服务器 2016。
- ADFS.Samplecompany.com - 内部 ADFS 联合名称的 DNS 名称。还指向外部代理服务器的 nat'd 外部 IP。
联网:我完成了所有网络工作。将 DMZ 代理服务器开放给 443 上的内部 ADFS 服务器。将外部代理服务器开放给 443 上的代理服务器。
证书:使用通配符证书 (*.samplecompany.com) 并将该证书用于 ADFS 环境。服务通信使用此证书,在设置过程中,令牌解密证书和令牌签名证书均由向导自动完成,并且是自签名的。
我采用了相同的证书(通配符)并在设置 DMZ 代理服务器和内部 ADFS 服务器之间的信任连接时应用了它。信任关系已建立并通过代理服务器上的远程访问角色发挥作用。https://i.stack.imgur.com/VyWSe.jpg
我可以成功地前往外部计算机并转到https://adfs.samplecompany.com/FederationMetadata/2007-06/FederationMetadata.xml并且能够下载该文件,所以这告诉我 ADFS 环境已启动并且代理正常工作。 当我从 Ping One 导入元数据文件时,在开始设置依赖方信任时出现以下错误。 https://i.stack.imgur.com/g5EUz.jpg
当我将 .xml 文件中的所有 URL 放入 Chrome 时,我的内部 ADFS 服务器都可以访问它们。我实际上没有看到任何流量离开我的 ADFS01 服务器到互联网尝试下载任何内容(我不确定是否应该这样做)。我很感激任何帮助,这实际上是我尝试设置的第一个 SAML 应用程序,感觉我一切都正确,但在我的组织和另一个组织之间建立连接的第一步失败了。不确定这是证书问题还是我遗漏了什么。
答案1
您遇到了在以下位置描述的问题https://blogs.technet.microsoft.com/pie/2016/10/23/adfs-2016-cannot-addupdate-relying-party-from-the-gui-from-metadata-files/
请参阅同一篇文章以了解修复详细信息。