我正在与某些监控软件进行 SAML 集成,但一直收到下面的 MSIS7070 错误。我尝试了多种转换组合,但都没有成功。我确信这是一个相对容易修复的问题,但我对 AD FS 的了解很少。我猜这与我的索赔签发政策有关?我正在尝试将电子邮件地址发回 SP。我确保我测试的帐户有一个与之关联的电子邮件。任何指导都将不胜感激。
服务提供商要求:
SP 将 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 指定为断言请求中的 NameIDPolicy 格式。
事件查看器错误
Microsoft.IdentityServer.Protocols.Saml.InvalidNameIdPolicyException:MSIS7070:SAML 请求包含已颁发令牌不满足的 NameIDPolicy。请求的 NameIDPolicy:AllowCreate:False 格式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier:。实际的 NameID 属性:格式:、NameQualifier:SPNameQualifier:、SPProvidedId:。
规则语言
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"), query = ";mail;{0}", param = c.Value);
答案1
知道了!
正如我所料,我的索赔签发政策也存在问题。对我而言,这些规则的组合才是有效的。
规则1:
规则 2
