已颁发的令牌不满足 SAML 2.0 NameIDPolicy

已颁发的令牌不满足 SAML 2.0 NameIDPolicy

我正在与某些监控软件进行 SAML 集成,但一直收到下面的 MSIS7070 错误。我尝试了多种转换组合,但都没有成功。我确信这是一个相对容易修复的问题,但我对 AD FS 的了解很少。我猜这与我的索赔签发政策有关?我正在尝试将电子邮件地址发回 SP。我确保我测试的帐户有一个与之关联的电子邮件。任何指导都将不胜感激。

服务提供商要求:

SP 将 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 指定为断言请求中的 NameIDPolicy 格式。

事件查看器错误

Microsoft.IdentityServer.Protocols.Saml.InvalidNameIdPolicyException:MSIS7070:SAML 请求包含已颁发令牌不满足的 NameIDPolicy。请求的 NameIDPolicy:AllowCreate:False 格式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier:。实际的 NameID 属性:格式:、NameQualifier:SPNameQualifier:、SPProvidedId:。

规则语言

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"), query = ";mail;{0}", param = c.Value);

在此处输入图片描述

答案1

知道了!

正如我所料,我的索赔签发政策也存在问题。对我而言,这些规则的组合才是有效的。

规则1:

在此处输入图片描述

规则 2 在此处输入图片描述

相关内容