我找不到明确的答案: – ISA 2006支持同一端口上的多个侦听器(HTTPS / 443,具有相同的证书/和不同的身份validation方法 – 一个用于FBA,另一个用于无身份validation)。 我需要这样做才能通过发布网站的同一个ISA服务器来发布ADFS(对于Azure),而我似乎无法对其进行configuration。 谢谢!
我有ADFS服务器设置和每个组件,如在URN,中继,索赔等到位,但得到这个错误按摩 “访问该站点时出现问题,请尝试再次浏览该站点,如果问题仍然存在,请联系本站的pipe理员,并提供参考编号以确定问题。参考编号:a0d4e1a6-bfc5-471d-a1d2-0503ef658f4e “ 事件日志包含Event ID 184的logging 错误“收到由密钥'urn:myWebFrontEnd:adfs'标识的依赖方的令牌请求,但由于该密钥未标识任何已知的依赖方信任,因此无法实现该请求密钥:urn:myWebFrontEnd:adfs 此请求失败。 用户操作如果此键表示应为其发出令牌的URI,请validation其前缀是否与在AD FSconfiguration数据库中configuration的依赖方信任相匹配。 和Event ID 364的logging 错误“在联合被动请求期间遇到错误。 其他数据 exception详细信息:Microsoft.IdentityServer.Web.InvalidScopeException:MSIS7007:未指定或不支持请求的依赖方信任“urn:simswfeqas001:adfs”。 如果指定了信赖方信任,那么您可能无权访问信任信赖方。 详情请联系您的pipe理员。 在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken上的Microsoft.IdentityServer.Web.FederationPassiveAuthentication.SubmitRequest(MSISRequestSecurityToken请求)在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.RequestBearerToken(MSISSignInRequestMessage signInRequest,SecurityTokenElement onBehalfOf,SecurityToken primaryAuthToken,stringdesiredTokenType,Uri&replyTo) (MSISSignInRequestMessage signInRequest,SecurityTokenElement onBehalfOf,SecurityToken primaryAuthToken,stringdesiredTokenType,MSISSession&会话)在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseCoreWithSecurityToken在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseCoreWithSerializedToken(stringsignOnToken,WSFederationMessage incomingMessage)(SecurityToken securityToken,WSFederationMessage incomingMessage)在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponseForProto 在Microsoft.IdentityServer.Web.FederationPassiveAuthentication.BuildSignInResponse(SecurityToken securityToken)上的colRequest(FederationPassiveContext federationPassiveContext,SecurityToken securityToken) 我怎样才能解决这些问题?
我们正在进行全新的部署,我们的大学购买了WebEx MeetingPlace。 我们有Cisco CallManager组件工作,但与ADFS 2.0 Single Sign On的集成已经不是什么折磨。 我正在处理的最大问题是我们使用了Split-Brain DNS,而我们的内部域名与外部域名是不同的。 尝试确定哪些证书来回传递,使用自签名证书的证书错误等 有没有人有这方面的经验,或类似的东西? 你有任何提示,或为此等等? 我之前没有使用联合身份validation系统,而且这种情况非常黑盒子化。 对不起,我也感到沮丧。
如果他们使用不同的SSL和域名,我可以为Office 365和SharePoint SSO使用单个ADFS服务器吗? 环境包括: 2 DC – ADFS服务器 – ADFS代理 – Sharepoint 2010服务器(portal.companyname.com) – 托pipeo365(companynameMail.com) o365 SSO目前工作正常(经过大量的工作),我想为我们的SharePoint服务器添加SSO。 我不清楚它是否可行,并且坚持在ADFS服务器上添加第二个SSL。 (是的,我将添加redundent服务器作为时间和预算许可证)
我们正在诊断一个问题,即我们的本地ADFS服务器停止从ADFS代理服务器接收请求(5m间隔)。 一种我们难以理解的行为是,当ADFS停止响应时,会提示Outlook客户端用户重新进行身份validation,并在令牌请求超时时断开连接。 一个build议是有一些networking会话重置,但我们一直无法识别Outlook用户的networkingpath发生这种情况。 根据文档和Microsoft支持,用户会发出默认TTL为8小时的login令牌。 如果这是真的,为什么用户被质疑重新authentication?
有谁知道是否有IIS7的ADFS / SAML身份提供程序? 示例工作stream程 – 用户将转到目录/ private,并且如果用户被正确authentication,它将redirect到提供者以login并返回。 我知道它可能使用表单auth,但是我只想保证1个目录,似乎有点写OTT的东西。 干杯
我们使用zScaler的代理服务。 这已经build立,以便我们和zScaler之间有一个ADFS服务器来validation用户,并允许他们访问互联网。 直到最近几个月(可能是6个月)的某个时候,这一直都很好,很花哨。 普通用户仍然可以正确authentication并接收他们的互联网cookie。 但是,域pipe理员的成员不。 与zScaler的支持电话已经结束,他们build议我们需要联系微软,并打开一个支持电话与他们。 够公平的,但我想我会看看这里有没有人有任何想法? 我们已经尝试从域pipe理员中删除用户,更改其用户帐户所在的OU,从头重新部署ADFS服务器(最终需要排除红鲱鱼错误以及另一个pipe理员没有发布严格的文档)。 当我尝试login时,没有错误产生,但浏览器进入无限循环尝试进行身份validation。 我们唯一可能的突破是禁用SAML并将Forms设置为身份validation方法。 通过提示login提示,我们可以input凭据,但页面刷新并不处理请求。 从服务器端,我可以看到一个审计失败(4776),但这似乎是指在每个用户帐户不更改的域中的LM级别。 我并不是ADFS 2.0的专家,只是我们公司内部的唯一用途就是代理。 这意味着技能和知识在当地有些薄弱。 我会把它留在这里,因为我的信息似乎已经相当漫不经心了,但如果有人有任何想法,我会感激一些,因为这是一个头脑刮。 更新: 看起来在这个KB中有一些很有前途的东西: https://support.microsoft.com/kb/2896713/en-us#appliesto 将在周末考察维修窗口,但手指交叉。
我正在设置一个Web应用程序代理服务器作为反向代理,将我们的一些内部网站发布到互联网上。 我将发布https://portal.workplace.example作为“中心”网站,它将链接到内部托pipe的各种其他网站。 这些网站托pipe在各种不同的服务器上,所以我想使用WAP来利用SSOfunction。 这很好。 其中一个链接是Office 365。我们使用IAMCloud的Federate 365服务(本质上是托pipe的ADFS服务)来validation我们的用户。 使用这意味着外部用户不依赖于我们的互联网连接被激活访问O365,如果我们的连接死亡,他们仍然能够进行身份validation。 但是,这也意味着当用户点击到Office 365的链接时,他们被强制重新进行身份validation。 我想将Web应用程序代理自动收集到外部联合服务的凭据传递给它。 我只是不明白你会怎么做。 我已经添加了外部ADFS农场作为依赖方信任,但是我不知道我需要使用什么声明规则,所以我使用UPN的传递规则作为声明被传递。 我还用WAP和外部联合的URL设置了发布规则,并在testing计算机上更改了hosts文件,使外部联合地址parsing为WAP的IP地址,但这只会导致空白页面。 我完全同意我没有这样做,但是我不确定要从哪里出发。 任何人都可以给我一些build议吗? 非常感谢, 伊恩
我一直在尝试configuration我的Windows服务器2008 R2机器的最近3天,以便移动客户端可以访问MS Dynamics CRM 2013的内部安装! 经过许多阅读和许多倒下,我现在知道我必须安装和设置AD-FS,然后最终IFD。 我已经从服务器pipe理器中添加了AD-FSangular色,但是永远无法将其与CRM配合使用。 后来我发现2008 R2附带的AD-FS版本是1.0,这显然是不好的。 我需要2.0! 我下载并安装了AD-FS 2,似乎安装没有问题(这是问题开始的地方)。 我打开AD-FS工具,然后单击链接来configuration和BOOM,我得到一个错误,指出它需要安装.NET Framework 3.5 … wtf!?! 我知道这已经安装在这台机器默认情况下,无论如何我检查的function…当然,它的存在。 我已经运行其他工具来检查安装,一切似乎很好。 这个垃圾3天后我现在拉出可能的头发。 我只是不知道什么是错的,我只在google上发现了一个结果,基本上只有一个跟帖,要求他检查他的.NET Framework安装。 我试图卸载和安装很多次,但同样的问题。 我希望这里有人可以帮我解决这个问题。 多谢你们 !
我正在使用两台在AD FSconfiguration中合作的Windows Server(虚拟)机器来设置实验室环境。 WIN-TORHJGJ7N :运行AD FS 2.0的Windows Server 2012。 也是域控制器。 ADFSSERVERPROXY :尽pipe它的名字,并没有真正成为代理(还)。 最重要的是,它包含一个在https://adfstest.sub.domain.com/运行的Web应用程序 。 它使用AD FS Windows基于令牌的代理进行保护,如下图所示。 Web应用程序是一个简单的“你好世界”程序,所以没有任何validation逻辑。 在我的第一台机器上,我想configuration我的依赖方信任,但是我在configuration我的端点时遇到了问题。 我尝试http://sts1.sub.domain.com/adfs/ls/和其他变化,但真的我不知道什么是打算去那里。 这是一个任意值,还是需要指向一个特定的位置? 如果它指向我的Web应用程序,是否需要在应用程序中实现身份validation逻辑? 因此,简而言之: 在这个设置中,依赖方的信任终点是什么? 编辑 : 我将端点指向应用程序端( https://adfstest.sub.domain.com/ )上的任意url时出现的错误之一是: AD FS Web代理为Windows NT基于令牌的应用程序遇到一个严重错误。 客户提交的cookies不能被validation。 这种情况发生在客户呈现格式不正确的Cookie时。 如果客户端是已知的有效用户,则此错误可能是由暂时性问题引起的。 例如,信任属性(例如证书)最近可能已更改,或者authentication机构可能无法提供撤销状态。 用户操作在安全日志中查找可能包含更多详细信息的其他事件。 如果审计尚未启用,请考虑在此Web服务器上启用故障审计。