Jelenségek
A passzív összevonási kérés sikertelen lesz, amikor egy AD FS-t és Űrlap-hitelesítést használó alkalmazáshoz, például a SharePointhoz csatlakozik, miután korábban a Microsoft Dynamics CRM-hez csatlakozott jogcímalapú hitelesítéssel, a következő hibaüzenet jelenik meg: Hiba történt az összevonási passzív kérelmek
során.
Additional Data
Protocol Name:
Relying Party:
Exception details:
Microsoft.IdentityServer.RequestFailedException: MSIS7065: There are no registered protocol handlers on path /adfs/ls/ to process the incoming request.
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
Sign out scenario: 20 minutes before Token expiration below dialog is shown with options
to Sign in or Cancel. A Bejelentkezés gombra kattintva a rendszer nem irányítja át az ADFS bejelentkezési lapjára, amely a felhasználónevet és a jelszót kéri. Ehelyett egy kijelentkezett ADFS-lapot ad meg. Játékvezető – Jogcímalapú hitelesítés és biztonsági jogkivonat lejárata.
A probléma oka
A problémát a Microsoft Dynamics CRM által AD FS névteret használva tartomány cookie-ként kibocsátott ismétlődő MSISAuth cookie okozza. Ez a cookie-név nem egyedi, és egy másik alkalmazás, például a SharePoint elérésekor duplikált cookie-t fog mutatni. Ez a hitelesítés sikertelen lesz.
A Kijelentkezés forgatókönyvet a Microsoft Dynamics CRM által tartomány cookie-ként kibocsátott Kijelentkezés cookie okozza (lásd az alábbi példát). Ez a cookie egy tartományi cookie, amely az ADFS-nek való bemutatáskor a teljes tartományra vonatkozik, például *.contoso.com/. Ennek hatására az újrahitelesítési folyamat meghiúsul, és az ADFS a Kijelentkezás lapot mutatja be.
Set-Cookie: MSISSignOut=; tartománnyal=contoso.com; path=/; biztonságos; HttpOnly
Megoldás
A probléma megoldásához be kell állítania a Microsoft Dynamics CRM-et egy altartományértékkel( például egy crm.domain.com. Ehhez egy másik helyettesítő tanúsítványra van szükség, például *.crm.domain.com.
A módosítások végrehajtása után újra be kell állítania a jogcímalapú hitelesítést és a HAD-t a megfelelő végpontok használatával, az alábbihoz hasonló módon:
-
auth.<subdomain>.domain.com
-
dev.<subdomain>.domain.com
-
org.<subdomain>.domain.com
További információ
A Jogcímalapú hitelesítés és az IFD szolgáltatás Microsoft Dynamics CRM-hez való konfigurálásával kapcsolatos további részletekért lásd az alábbi hivatkozást: A jogcímalapú hitelesítés konfigurálása
a Microsoft Dynamics CRM Serverhez