我们已经与许多客户完成了基于 SAML 的 SP 发起的 SSO,并且一切顺利(最终)。
我们现在有一位使用 ADFS 的客户。我们可以让 idP 启动的模式正常工作,但使用 SP 启动的模式时,他们会收到错误:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust '[BASE-URI]' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
我对 ADFS 一点都不熟悉。谷歌搜索说我们需要一个可信赖的信任 URL,所以我在网上找到了一个示例,经过一些 C&P 之后,下面是我的示例:信任文件。已使用此文件的 URL 更新 ADFS 配置。
这似乎并没有什么区别,这让我想到了以下情况之一:
- ADFS 配置不正确
- trust.xml 文件不正确,因此 ADFS 无法获取所需信息
- 还有一些我甚至不知道的事情
如果有任何指点/建议我将非常感激。