Συμπτώματα
Η παθητική αίτηση ομοσπονδίας αποτυγχάνει κατά την πρόσβαση σε μια εφαρμογή, όπως το SharePoint, που χρησιμοποιεί τις υπηρεσίες AD FS και τον έλεγχο ταυτότητας φορμών μετά από προηγούμενη σύνδεση στο Microsoft Dynamics CRM με έλεγχο ταυτότητας βασισμένο σε αξιώσεις, αποτυγχάνει με το ακόλουθο σφάλμα: Παρουσιάστηκε σφάλμα κατά την παθητική αίτηση
ομοσπονδίας.
Πρόσθετο όνομα πρωτοκόλλου
δεδομένων: Relying Party: Λεπτομέρειες
εξαίρεσης:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: Δεν υπάρχουν καταχωρημένα προγράμματα χειρισμού πρωτοκόλλων στη διαδρομή /adfs/ls/ για την επεξεργασία της εισερχόμενης αίτησης.
στο Microsoft.IdentityServer.Web.PassiveProtoservListener.OnGetContext(Περιβάλλον WrappedHttpListenerContext) Σενάριο
λήξης: Εμφανίζονται 20 λεπτά πριν από τη λήξη του διακριτικού παρακάτω, με τις επιλογές "Είσοδος" ή "Άκυρο".
Κάνοντας κλικ στην επιλογή "Είσοδος" δεν γίνεται ανακατεύθυνση στη σελίδα "Είσοδος ADFS" που σας ζητά όνομα χρήστη και κωδικό πρόσβασης. Αντί για αυτό, παρουσιάζει μια σελίδα ADFS "Εκτός σύνδεσης". Referece - Λήξη ελέγχου ταυτότητας βάσει αξιώσεις και λήξης διακριτικού ασφάλειας.
Αιτία
Το πρόβλημα προκαλείται από ένα διπλότυπο cookie MSISAuth που εκδίδεται από το Microsoft Dynamics CRM ως cookie τομέα με ένα χώρο ονομάτων υπηρεσιών AD FS. Αυτό το όνομα cookie δεν είναι μοναδικό και, όταν γίνεται πρόσβαση σε μια άλλη εφαρμογή, όπως το SharePoint, παρουσιάζεται με διπλότυπο cookie. Αυτό προκαλεί την αποτυχία του ελέγχου ταυτότητας.
Το σενάριο "Αποσυνδεθείτε" προκαλείται από cookie που εκδίδεται από το Microsoft Dynamics CRM ως cookie τομέα, ανατρέξτε στο παρακάτω παράδειγμα. Αυτό το cookie είναι cookie τομέα και, όταν παρουσιάζεται σε ADFS, θεωρείται για ολόκληρο τον τομέα, όπως *.contoso.com/. Αυτό προκαλεί την αποτυχία της ροής επανα-ελέγχου ταυτότητας και η υπηρεσία ADFS παρουσιάζει τη σελίδα "Αποσυνδεθείτε".
Set-Cookie: MSISSignOut=; domain=contoso.com; path=/; ασφαλής, httpOnly
Επίλυση
Για να επιλύσετε αυτό το ζήτημα, θα χρειαστεί να ρυθμίσετε τις παραμέτρους του Microsoft Dynamics CRM με μια τιμή υποτομή, όπως crm.domain.com. Αυτό θα απαιτεί διαφορετικό πιστοποιητικό μπαλαντέρ, όπως *.crm.domain.com.
Μετά την εκτέλεση αυτών των αλλαγών, θα χρειαστεί να ρυθμίσετε εκ των εκ των παραμέτρων τα στοιχεία ελέγχου ταυτότητας που βασίζονται σε αξιώσεις και IFD χρησιμοποιώντας τα σωστά τελικά σημεία, όπως φαίνεται παρακάτω:
-
auth.<subdomain>.domain.com
-
dev.<υποτομείου>.domain.com
-
org.<υποτομεύων>.domain.com
Περισσότερες πληροφορίες
Για πρόσθετες λεπτομέρειες σχετικά με τη ρύθμιση παραμέτρων του ελέγχου ταυτότητας που βασίζεται σε αξιώσεις και της ifd για το Microsoft Dynamics CRM, ανατρέξτε στην ακόλουθη σύνδεση: Ρύθμιση παραμέτρων ελέγχου ταυτότητας που βασίζεται σε αξιώσεις για
το Microsoft Dynamics CRM Server
