המזהה של הצד המסתמך, מזהה לקוח וניתוב מחדש URI אמור לספק על-ידי הבעלים של היישום והלקוח. עם זאת, עדיין ייתכן חוסר התאמה בין מה מספק הבעלים מוגדרים ב- AD FS. לדוגמה, אי-התאמה עשוי להיגרם על-ידי טעות הקלדה. בדוק אם ההגדרות שסופקו על-ידי התאמת בעלים אלה המוגדרים ב- AD FS. השלבים בעמוד הקודם לקבל את ההגדרות שנקבעו ב- AD FS באמצעות PowerShell.

הגדרות שסופק על-ידי הבעלים

ההגדרות שנקבעו ב- AD FS

הסתמכות מזהה צד

$rp.Identifier

הסתמכות URI של ניתוב מחדש של צד

התאמה של קידומת או כלליים

  • $rp. WSFedEndpoint למסיבה המסתמך WS-Fed

  • $rp. SamlEndpoints למסיבה המסתמך SAML

מזהה לקוח

$client.ClientId

URI של ניתוב מחדש של לקוח

קידומת התאמה של $client. RedirectUri

אם הפריטים בטבלה תואם, בנוסף בדוק אם הגדרות אלה תואמים בין הם מופיעים בבקשה אימות שנשלחו אל AD FS מוגדרים ב- AD FS. נסה להפקת הבעיה שבמהלכו ללכוד מעקב Fiddler בקשת אימות שנשלחו על-ידי היישום AD FS. בדוק את הפרמטרים בקשה לבצע את הבדיקות הבאות בהתאם לסוג הבקשה.

בקשות OAuth

בקשת OAuth נראה כדלהלן:

https://sts.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

בדוק אם הפרמטרים בבקשה להתאים את ההגדרות שנקבעו ב- AD FS.

הפרמטרים של הבקשה

ההגדרות שנקבעו ב- AD FS

client_id

$client.ClientId

redirect_uri

התאמה הקידומת של @client_RedirectUri

הפרמטר "משאב" לייצג מסיבת המסתמך חוקי ב- AD FS. קבל את המידע הצד המסתמך על-ידי הפעלת אחת מהפקודות הבאות.

  • אם אתה משתמש של הצד המסתמך הרגיל, הפעל את הפקודה הבאה:
    Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"

  • אם תשתמש בתכונה קבוצת היישומים ב- Windows Server 2016, הפעל את הפקודה הבאה:
    Get-AdfsWebApiApplication "ValueOfTheResourceParameter"

בקשות WS-Fed

בקשה WS Fed נראה כדלהלן:

https://fs.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

בדוק אם הפרמטרים הבקשה להתאים את תצורת AD FS ההגדרות:

הפרמטרים של הבקשה

ההגדרות שנקבעו ב- AD FS

wtrealm

$rp.Identifier

wreply

בהתאמת קידומת או התאמה כלליים של $rp. WSFedEndpoint

בקשות SAML

בקשה SAML נראה כדלהלן:

https://sts.contoso.com/adfs/ls/?SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-sha1&Signature=Signature

פענח את הערך של הפרמטר SAMLRequest על-ידי שימוש באפשרות "מ DeflatedSAML" באשף הטקסט Fiddler. הערך המפוענחים נראה כדלהלן:

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z" Destination="https://TestClaimProvider-Samlp-Only/adfs/ls" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /></samlp:AuthnRequest>

בצע את הבדיקות הבאות בתוך הערך לפענח:

  • לבדוק אם שם המחשב המארח ערך היעד תואם את שם המארח של AD FS.

  • לבדוק אם הערך של המנפיק תואם$rp.Identifier.

הערות נוספות עבור SAML

  • $rp. SamlEndpoints: מציגה את כל סוגי נקודות הקצה של SAML. תגובת AD FS יישלח לכתובות ה-Url המתאימה מוגדרת לפי נקודות הקצה. נקודת קצה של SAML באפשרותך להשתמש איגודי ניתוב מחדש, הצבה או ממצא לשידור הודעה. ניתן לקבוע את התצורה של כל כתובות ה-Url אלה ב- AD FS.

  • $rp. SignedSamlRequestsRequired: אם הערך מוגדר, הבקשה SAML נשלחה צרכי הצד המסתמך שייחתמו. הפרמטרים "SigAlg" ו- "חתימה" צריך להיות נוכח בבקשה.

  • $rp. RequestSigningCertificate: זהו אישור החתימה המשמש כדי להפיק את החתימה על הבקשה SAML. ודא כי האישור אינו חוקי ובקש הבעלים יישום כדי להתאים את האישור.

הוא לפתור את הבעיה?

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×