Dựa bên nhận dạng, ID khách hàng và chuyển URI nên được cung cấp bởi chủ sở hữu ứng dụng và khách hàng. Tuy nhiên, vẫn có thể không phù hợp giữa người cung cấp và những gì được cấu hình trong AD FS. Ví dụ: một không phù hợp có thể do một lỗi đánh máy. Kiểm tra nếu cài đặt cung cấp bởi phù hợp với chủ sở hữu các cấu hình trong AD FS. Các bước trong trang trước giúp bạn cài đặt cấu hình trong AD FS qua PowerShell.

Thiết đặt được cung cấp bởi chủ sở hữu

Cài đặt cấu hình trong AD FS

Dựa bên ID

$rp.Identifier

Chuyển hướng bên dựa URI

Tiền tố hoặc mở rộng trùng khớp

  • $rp. WSFedEndpoint một WS-Fed dựa bên

  • $rp. SamlEndpoints một bên dựa SAML

ID máy khách

$client.ClientId

Khách hàng chuyển URI

Các $client tiền tố phù hợp. RedirectUri

Nếu mục trong bảng phù hợp, ngoài ra kiểm tra nếu các cài đặt kết hợp giữa những gì chúng xuất hiện trong yêu cầu xác thực cho AD FS và những gì được cấu hình trong AD FS. Cố gắng tái tạo sự cố trong đó bạn lưu theo dõi Fiddler theo yêu cầu xác thực gửi cho AD FS. Kiểm tra các thông số yêu cầu để thực hiện việc kiểm tra sau tuỳ thuộc vào loại yêu cầu.

Yêu cầu OAuth

Cầu OAuth trông giống như sau:

https://sts.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com

Kiểm tra nếu tham số yêu cầu phù hợp với thiết đặt cấu hình trong AD FS.

Yêu cầu tham số

Cài đặt cấu hình trong AD FS

client_id

$client.ClientId

redirect_uri

Tiền tố trùng khớp @client_RedirectUri

Tham số "tài nguyên" sẽ đại diện cho một giá trị dựa bên trong AD FS. Nhận được thông tin bên dựa bằng cách chạy một trong các lệnh sau đây.

  • Nếu bạn sử dụng một bên dựa thông thường, chạy lệnh sau:
    Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"

  • Nếu bạn sử dụng tính năng nhóm ứng dụng trong Windows Server 2016, chạy lệnh sau:
    Get-AdfsWebApiApplication "ValueOfTheResourceParameter"

Yêu cầu WS-Fed

Yêu cầu WS-Fed trông giống như sau:

https://fs.contoso.com/adfs/ls/?wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z

Kiểm tra nếu tham số yêu cầu phù hợp với thiết đặt cấu hình trong AD FS:

Yêu cầu tham số

Cài đặt cấu hình trong AD FS

wtrealm

$rp.Identifier

wreply

Phù hợp với tiền tố hoặc mở rộng phù hợp với $rp. WSFedEndpoint

Yêu cầu SAML

Yêu cầu SAML trông giống như sau:

https://sts.contoso.com/adfs/ls/?SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-sha1&Signature=Signature

Giải mã giá trị tham số SAMLRequest bằng cách sử dụng tuỳ chọn "Từ DeflatedSAML" trong thuật sỹ văn Fiddler. Giá trị decoded trông giống như sau:

<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z" Destination="https://TestClaimProvider-Samlp-Only/adfs/ls" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" /></samlp:AuthnRequest>

Để kiểm tra sau trong decoded giá trị:

  • Kiểm tra nếu các máy chủ tên giá trị đến phù hợp với tên máy chủ AD FS.

  • Kiểm tra giá trị của nhà phát hành phù hợp$rp.Identifier.

Chú ý bổ sung cho SAML

  • $rp. SamlEndpoints: Hiển thị tất cả các loại điểm cuối SAML. Phản hồi từ AD FS gửi URL tương ứng được cấu hình trong các điểm cuối. Điểm cuối SAML có thể sử dụng liên kết chuyển hướng, bài viết hoặc yếu tố truyền thông báo. Tất cả các URL có thể được cấu hình trong AD FS.

  • $rp. SignedSamlRequestsRequired: Nếu giá trị được thiết lập, yêu cầu SAML được gửi từ các dựa bên phải đăng nhập. Các tham số "SigAlg" và "Chữ ký" cần phải có trong yêu cầu.

  • $rp. RequestSigningCertificate: Đây là chứng chỉ ký đã sử dụng để tạo chữ ký trong yêu cầu SAML. Đảm bảo rằng chứng chỉ hợp lệ và yêu cầu chủ sở hữu ứng dụng phù hợp với chứng chỉ.

Vấn đề được giải quyết?

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×