我设法为我们的 Microsoft 租户启用了联合登录,这样如果你登录到 office.com 并输入你的用户名(例如“[电子邮件保护]“),然后您将被重定向到我们的 Keycloak 实例,在那里进行身份验证,然后您将被重定向回 office.com 并成功登录。
我现在想为我们的 Windows Education 机器启用相同的功能。通过使用 Windows 配置设计器,我启用了 SharedPC 设置,还启用了 FederatedAuthentication/EnableWegSignInForPrimaryUser 和 Policies/Authentication/EnableWebSignIn,并将 /ConfigureWebSignInAllowedUrls 设置为 Keycloak 域。设备本身通过 Entra 进行管理。
乍一看,这似乎有效——如果“主要用户”(即 Entra 中现有的用户)尝试登录,他将获得正常流程。如果来自联合域的某人尝试登录,它也会似乎首先工作 - 您会被重定向到 Keycloak,成功输入您的凭据,然后您会被重定向回来。
此时你只会看到:“出了点问题”。就是这样。这就是整个错误消息。尝试筛选事件日志也没有得到任何结果(或者我没有在正确的位置查找),Keycloak 只会说:“嘿,它 100% 成功了我的结束!”所以我不知道接下来该怎么办。它在网站上能用,但在 Windows 上不能用,这种对比也让事情变得更加复杂。微软支持只是告诉我:“是的,第三方,走开。”此外,他们主动删除了他们的 SAML 测试工具,该工具本应帮助您诊断此类问题。
还有谁知道我该怎么做才能诊断这个问题?