Remdamasi šalies identifikatorius, kliento ID ir nukreipti URI pakeistas savininkas ir kliento. Tačiau, ten dar gali būti savininkas pateikia ir kas yra sukonfigūruotos AD FS neatitikimas. Pvz., kad nesutampa gali sukelti klaidos. Patikrinkite, ar jei parametrus teikia savininkas match tie konfigūruoti AD FS. Į ankstesnį puslapį veiksmus jums AD FS per "PowerShell" konfigūracijos parametrus.

Parametrai, pateikti savininkas

Parametrai, AD FS

Nuo šalies ID

$rp.Identifier

Remdamasi šalies nukreipti URI

Prefiksą arba pakaitos atitikmens

  • $rp. WSFedEndpoint WS-Fed remdamasi šalis

  • $rp. SamlEndpoints SAML remdamasi šalis

Kliento ID

$client.ClientId

Kliento peradresavimo URI

Priešvardžio atitikmens, $client. RedirectUri

Jei elementai lentelėje sutampa, be to patikrinti, jei šie parametrai atitinka tai, ką jie rodomi AD FS autentifikavimo prašymą, ir tai, ką esate sukonfigūravę AD FS. Pabandykite atkurti šią problemą, per kurį jums užfiksuoti Fiddler pėdsaką, išsiųsti prašymą AD FS autentifikavimo užklausą. Patikrinkite užklausos parametrų daryti, priklausomai nuo užklausos šiuos patikrinimus.

OAuth užklausos

OAuth užklausą yra panašus į šį:

https://sts.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

Patikrinkite, jei užklausos parametrai atitinka AD FS konfigūracijos parametrus.

Užklausos

Parametrai, AD FS

client_id

$client.ClientId

redirect_uri

Priešvardžio atitikmens, @client_RedirectUri

"Išteklių" parametras turi būti galiojantis remdamasi šalies AD FS. Gaukite remdamasi šalies informacijos veikia viena iš toliau nurodytas komandas.

  • Jei naudojate įprastinių remdamasi šalies, vykdykite šią komandą:
    Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"

  • Jei naudojate Windows Server 2016 programos grupės funkciją, vykdykite šią komandą:
    Get-AdfsWebApiApplication "ValueOfTheResourceParameter"

WS-Fed užklausos

WS-Fed užklausa yra panašus į šį:

https://fs.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

Patikrinkite, ar jei užklausos parametrai atitinka AD FS konfigūracijos parametrus:

Užklausos

Parametrai, AD FS

wtrealm

$rp.Identifier

wreply

Priešvardžio match arba pakaitos match, $rp. WSFedEndpoint

SAML užklausas

SAML užklausa yra panašus į šį:

https://sts.contoso.com/adfs/ls/?SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-sha1&Signature=Signature

Iššifruoti SAMLRequest parametro reikšmė naudojant parinktį "Iš DeflatedSAML" Fiddler teksto vedlyje. Dekoduojami reikšmė yra panašus į šį:

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z" Destination="https://TestClaimProvider-Samlp-Only/adfs/ls" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /></samlp:AuthnRequest>

Atlikite šiuos patikrinimus per dekoduojami reikšmę.

  • Patikrinti, jei pagrindinio kompiuterio pavadinimą, kuris reikšmę paskirties sutampa su AD FS pagrindinio kompiuterio pavadinimą.

  • Patikrinkite, ar jei išdavėjo reikšmė$rp.Identifier.

Papildomos pastabos dėl SAML

  • $rp. SamlEndpoints: Rodo visų rūšių SAML galiniai punktai. Atsakymas iš AD FS siunčiamas į atitinkamą URL sukonfigūruotas, galiniai punktai. SAML endpoint naudoti peradresavimo, skelbti ar artefakto susiejimai pranešimų perdavimas. Visi šie URL gali būti konfigūruojamas AD FS.

  • $rp. SignedSamlRequestsRequired: Jei reikšmė yra nustatyta, SAML užklausa nusiųsta remdamasi šalies poreikius būtų pasirašytos. "SigAlg" ir "Parašas" parametrai turi būti užklausoje.

  • $rp. RequestSigningCertificate: Tai yra skirtas kurti parašo SAML prašymo pasirašymo sertifikatu. Įsitikinkite, kad sertifikatas galioja ir paprašykite, kad programos savininkas atitinkantį sertifikatą.

Išspręsta problema?

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius

Ieškoti mokymo >

Pirmiausia gaukite naujų funkcijų

Prisijungti prie "Microsoft Insider" >

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?

Dėkojame už jūsų atsiliepimus!

×