Sharepoint
AD FS - 使用聯合 Web SSO,帳戶合作夥伴無法登錄到 SharePoint,而資源合作夥伴正常
在資源合作夥伴組織中實施聯合 Web SSO設計以訪問 SharePoint 以及在分步教程Windows Server 2012 R2 AD FS – 聯合 Web SSO中看似正確地完成所有操作時,有些事情不太正確。
- 帳戶組織使用者無法登錄,因為瀏覽器在資源合作夥伴和帳戶合作夥伴 ADFS 之間跳轉,直到它在帳戶合作夥伴 ADFS 上生成以下事件 ID 364:
Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '3' seconds. Contact your administrator for details.- 資源合作夥伴組織使用者登錄沒有問題
- 它與 saml 令牌時間戳無關。我檢查了生命週期是否設置正確。沒有時區問題或其他配置問題。
- 我看到正在發布主 SID,但想知道為什麼沒有發佈在 SharePoint 中設置為標識符聲明的電子郵件令牌
- 在帳戶合作夥伴 ADFS 伺服器上,我將電子郵件聲明傳遞給資源合作夥伴依賴方。在資源合作夥伴 ADFS 伺服器上,在聲明提供程序中,我正在傳遞(接受)電子郵件聲明。在依賴方,我將 ldap 屬性電子郵件映射到傳出電子郵件聲明(哎呀,最後一句話實際上是罪魁禍首,但對我來說並不明顯)
對另一個問題的答案的評論導致解決方案指出:
我沒有通過 RP ADFS 伺服器上共享點的聲明規則。
原來對於 SharePoint 依賴方,我有一個規則“將 LDAP 屬性作為聲明發送”,它將傳入電子郵件聲明映射到傳出電子郵件聲明。原來我需要一個“通過或過濾傳入的 Caim”才能通過它。
答對了。“發送 LDAP 屬性…”規則意味著必須查詢 Active Directory 屬性儲存。好吧,資源合作夥伴沒有資訊可以從他自己的 AD 中獲取以提取電子郵件地址。因此我只需要通過它,而不是獲取我自己的廣告。Create a Rule to Send LDAP Attributes as Claims 文件說明了這一點:
使用 Active Directory 聯合身份驗證服務 (AD FS) 中的將 LDAP 屬性作為聲明發送規則模板,您可以創建一個規則,該規則 將從輕量級目錄訪問協議 (LDAP) 屬性儲存(例如 Active Directory)中選擇屬性作為聲明發送到依賴方。例如,您可以使用此規則模板創建將 LDAP 屬性作為聲明發送規則,該規則將為經過 身份驗證的使用者提取屬性值…