在Windows 2012 R2上使用ADFS。 我已经创build了一个中继方信任,该中继信任具有一个声明规则,该规则定义了将活动目录属性映射到供应商系统中的命名属性。 当我查看federationmetadata.xml文件时,我注意到这些属性不存在,只有“索赔说明”中列出的项目存在。 这是正常的吗? 应用程序供应商系统显然使用PingFederate,他们期望这些属性出现在元数据文件中。
我遇到类似的问题,使用AD FS的SSO(2个ASP.NET站点和一些WCFs) 这个问题 。 login时,用户点击302redirect循环,但是当浏览器停止循环并且用户手动键入网站的URL时,其login已成功完成。 虽然KB3003381最近已应用于系统,但我一直无法find触发此行为的方法。 我一直无法在我们的testing系统上重现这一点。 此问题目前在生产系统上,因此禁用证书检查不是一个选项。 这个答案提到了一个修补程序 ,但是当我们将它应用到我们的testing系统时,它实际上导致了redirect循环的发生! 我在Server 2012上运行AD FS 2.1。我们也有SecurEnvoy提供2FA。 对不起,提出一个新的问题,但我没有代表在这里发表评论。 任何帮助是极大的赞赏!
我需要使用AD FS在我的Web应用程序上对用户进行身份validation,但是当他们从我的网站redirect到ADFSlogin页面时,他们收到错误的页面,并且无法引入凭据。 我的联合configuration如下所示: issuer=https://sts.mynetwork.com/adfs/ls/ realm=https://localhost/ 如果将此configuration用户redirect到AD FSlogin页面,则不允许他执行任何操作,因为存在错误并且没有用于凭据的字段。 当我将联邦configuration更改为: issuer=https://sts.mynetwork.com/adfs/ls/ realm=urn:federation:MicrosoftOnline 用户可以login,但只能login到Office 365。 所以我假设服务器configuration不允许AD FS到外部网站,而是到Office 365。如何configurationAD FS使外部网站能够使用AD FS身份validation?
我在ADFS 3.0中使用基于证书的身份validation,并且需要从作为声明发布的客户端证书中获取主题字段,但是它不作为ADFS的传入声明。 当我启用审计时,我可以看到它存在于调用者身份中,如以下声明types所示: http : //schemas.microsoft.com/2012/12/certificatecontext/field/subject 但是,它不会以签发的身份签发,因此不能作为在索赔规则中使用的传入索赔。 有没有人做过这个? 你可以调整来自客户端证书的传入声明吗?
我有一个已经开发了大约一个月的Spring SAML项目。 我已经集成了ADFS,一切都运行良好。 我得到了一个间歇性的错误,因为我不得不等待它似乎决定再次开始工作。 现在它比正常显示更多的错误。 在使用任意数量的testingAD帐户进行login后,我看到此错误。 错误ID 111在事件日志中 The Federation Service encountered an error while processing the WS-Trust request. Request type: http://schemas.microsoft.com/idfx/requesttype/issue Additional Data Exception details: System.ArgumentOutOfRangeException: Not a valid Win32 FileTime. Parameter name: fileTime at System.DateTime.FromFileTimeUtc(Int64 fileTime) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange)…. ADFS事件日志中的错误364 Encountered error during federation passive request. Additional Data Protocol […]
我不知道有没有人看过这个问题或有什么想法? 我们最近将ADFS从W2008r2上的ADFS 2.1迁移到了W2016上的ADFS 4.0上。 基本的function似乎很好,但我看到与所有依赖方信任更新联合元数据的问题; 尝试右键单击并select“从联合元数据更新…”(或去属性,监控,testingURL)给出以下错误: "An error occurred during an attempt to read the federation metadata. Verify that the specified URL or host name is a valid metadata endpoint". 相关的错误信息是 Method not found: 'Microsoft.identitymodel.protocols.WSFederation.Metadata.MetadataBase Microsoft.Identity.Model.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata(System.IO.Stream)'. 没有代理服务器需要,没有定义代理服务器。 我可以在ADFS服务器的IE浏览器中浏览到联邦元数据URL,并获得预期的XML页面。 我已检查证书是否正确定义,ADFS服务帐户是否具有读取权限等 在服务启动或尝试testing/更新元数据时,事件日志中没有错误消息。 试图添加一个新的依赖方信任给出了相同的错误。 我运行了ADFS诊断程序,test-adfsserverhealth给出了一个我认为是关键的错误,但是我不知道下一步该怎么做。 Name : PingFederationMetadata Result : Fail Detail : System.Net.WebException: The underlying connection was […]
我正在尝试configurationADFS 3.0和SAML 2.0。 目前,每当我重新启动shibd和httpd时,我得到这个错误。 2016-11-07 12:49:08 ERROR XMLTooling.ParserPool : error on line 1, column 2702, message: grammar not found for namespace 'http://docs.oasis-open.org/wsfed/federation/200706' 2016-11-07 12:49:08 ERROR XMLTooling.ParserPool : error on line 1, column 2702, message: attribute 'ServiceDisplayName' is not declared for element 'RoleDescriptor' 2016-11-07 12:49:08 ERROR XMLTooling.ParserPool : error on line 1, column 3893, message: no […]
所以我想弄清楚如何将我的声明感知应用程序中的活动目录中的员工号码作为声明映射。 在我们的应用程序中,我们需要某种键值,以便在人们更改姓名(婚姻等)时帐户不会变成孤儿。 将这些属性映射为索赔的正确方法是什么? 下面我已经做了它似乎是明显的方式来做到这一点,但在login时,我们得到“发生错误”和一个完全无用的错误信息,我将附在底部。
以下是Microsoft Azure上的设置 – 3台服务器: 域控制器(服务器2016) ADFS(使用gMSA帐户)(Server 2016,最新的ADFS) ADFS代理(Server 2016,最新的ADFS代理) 我能够将ADFS代理连接到ADFS服务器没有问题,但是,ADFS代理和ADFS服务器之间有一个间歇性错误(似乎每个其他同步请求都失败)。 ADFS代理每隔几分钟就会同步它的代理configuration数据,我会在“应用程序和服务日志”中获得两个条目 – AD FS – > Admin 无法同步事件: The federation server proxy configuration could not be updated with the latest configuration on the federation service. Additional Data Error: Retrieval of proxy configuration data from the Federation Server using trust certificate with thumbprint '8D4D65367FC31B61230951832C81E2B0891E3B9F' failed with […]
我有一个ADFS场和2个ADFS代理服务器。 代理不是域的成员。 今天早上代理服务器停止了能够提供FederationMetaData.xml。 FS服务器工作正常。 代理服务器事件日志中充满了事件ID 364的错误,其中显示“在联合被动请求期间遇到错误”,并且细节表示“从对方收到不安全或错误安全的错误”。 我search了一些文章,提示如果你看到这个错误,你可能会错过一个SPN,但是由于它们没有join域,所以SPN不会出现。 核心问题是我试图让代理再次提供联邦元数据,但我想知道如果错误是相关的。 我已经成功地通过了联盟代理configuration向导,并重新启动(几次)与此服务器的另一个奇怪的是,当我做一个iisreset,它总是超时,并说服务没有及时回来,但当我看,IIS运行良好。 这些错误是相关的还是我应该看看其他地方? 如果是这样,我还能看到什么?