在实施时联合 Web SSO在资源合作伙伴组织中访问 SharePoint 的设计与在分步教程中看似正确执行所有操作时的设计Windows Server 2012 R2 AD FS – 联合 Web SSO,有些事情不太对劲。
- 账户组织用户无法登录因为浏览器在资源合作伙伴和帐户合作伙伴 ADFS 之间跳转,直到它在帐户合作伙伴 ADFS 上生成以下事件 ID 364:
Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '3' seconds. Contact your administrator for details. - 资源合作伙伴组织用户登录没有问题
- 它与 saml 令牌时间戳无关。我检查了生命周期是否设置正确。没有时区问题或其他配置问题。
- 我看到已颁发主 SID,但想知道为什么未颁发在 SharePoint 中设置为标识符声明的电子邮件令牌
- 在帐户合作伙伴 ADFS 服务器上,我将电子邮件声明传递给资源合作伙伴依赖方。在资源合作伙伴 ADFS 服务器上,在声明提供商内,我正在传递(接受)电子邮件声明。在依赖方,我将 ldap 属性电子邮件映射到外发电子邮件声明(哎呀,最后一句话实际上是罪魁祸首,但对我来说并不明显)
答案1
对答案的评论另一个问题的解决方案是:
我没有在 RP ADFS 服务器上传递 SharePoint 的声明规则。
事实证明,对于 SharePoint 依赖方,我有一条规则“将 LDAP 属性发送为声明”,该规则将传入电子邮件声明映射到传出电子邮件声明。事实证明我需要一个“通过或过滤传入的 Caim”来让它通过。
答对了。“发送 LDAP 属性...”规则意味着必须查询 Active Directory 属性存储。好吧,资源合作伙伴没有信息可以从他自己的 AD 中获取以提取电子邮件地址。因此我只需要传递它,而不是获取我自己的 AD。创建规则以将 LDAP 属性发送为声明文档声明如下:
使用 Active Directory 联合身份验证服务 (AD FS) 中的“将 LDAP 属性发送为声明”规则模板,您可以创建一条规则,该规则将 从轻量级目录访问协议 (LDAP) 中选择属性 属性存储(如 Active Directory)以声明形式发送给依赖方。例如,您可以使用此规则模板创建“将 LDAP 属性发送为声明”规则,该规则将提取属性值 对于经过身份验证的用户...