用于标记转储应用程序疑难解答

联合身份验证服务以及验证自定义的调试问题声明规则时,令牌转储应用程序非常有用。不是一个正式的解决方案而很好的独立调试解决方案建议进行故障排除的目的。

令牌转储应用程序之前,您需要:

  1. 获得您要访问的应用程序依赖方的信息。如果实现 OAuth 身份验证时,得到 OAuth 客户端信息。

  2. 设置标记转储应用程序。

获取依赖方和 OAuth 客户端信息

如果使用传统的依赖方,请执行以下步骤:

  1. 在 AD FS 服务器上,使用以管理员身份运行选项打开 Windows PowerShell。

  2. 添加 AD FS 2.0 组件到 Windows PowerShell 通过运行以下命令:
    Add-PSSnapin Microsoft.Adfs.PowerShell

  3. 通过运行以下命令获得信赖方信息:
    $rp = Get-AdfsRelyingPartyTrust RPName

  4. 通过运行以下命令来获取 OAuth 客户端信息:
    $client = Get-AdfsClient ClientName

如果您在 Windows 服务器 2016年使用应用程序组功能,请按照下面的步骤:

  1. 在 AD FS 服务器上,使用以管理员身份运行选项打开 Windows PowerShell。

  2. 通过运行以下命令获得信赖方信息:
    $rp = Get-AdfsWebApiApplication ResourceID

  3. 如果 OAuth 客户端是公开的获取客户端信息通过运行下面的命令:
    $client = Get-AdfsNativeClientApplication ClientName

    如果 OAuth 客户端是保密的获取客户端信息通过运行下面的命令:
    $client = Get-AdfsServerApplication ClientName

设置标记转储应用程序

要将标记转储应用程序设置,在 Windows PowerShell 窗口中运行以下命令:

$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"
$issuanceRules = "x:[]=>issue(claim=x);"
$redirectUrl = "https://dumptoken.azurewebsites.net/default.aspx"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules $authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint

现在继续使用下列故障排除方法。每种方法的末尾,请参阅此问题是否已解决。如果不是,则使用另一种方法。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×