Я пытаюсь реализовать проверку подлинности клиента для приложения SharePoint с использованием проверки подлинности сертификата клиента.
Сертификат для пользователей выдается внешним центром сертификации, и мы сопоставляем сертификат с пользователями в Active Firectory по имени, сопоставляя значение сертификата для CN. Однако CN сертификата не совпадает с UPN в Active Directory, и я не могу контролировать, как создается CN (внешний CA).
Когда пользователи пытаются войти в систему с помощью сертификата клиента (мы включаем внешнюю аутентификацию с помощью сертификата + добавляем весь корневой ЦС в хранилище Trusted, чтобы сертификат клиента можно было доверять), пользователю предлагается выбрать сертификат и после что они получают следующую ошибку:
Служба федерации обнаружила ошибку при обработке запроса WS-Trust.
Тип запроса: schemas.microsoft.com/idfx/requesttype/issue
Дополнительные данные
Сведения об исключении:
System.ComponentModel.Win32Exception (0x80004005): Неверное имя пользователя или пароль в Microsoft.IdentityModel.Tokens.X509SecurityTokenHandler.KerberosCertificateLogon (сертификат X509Certificate2) в Microsoft.IdentityMimtificatelateateCateject.CateLateCateLateCateLateCateLateCateLateCateLateCateLirectateject IdentityModel.Claims.WindowsClaimsIdentity.CreateFromCertificate (X509Certificate2 сертификат, Boolean useWindowsTokenService, String issuerName) atMicrosoft.IdentityModel.Tokens.X509SecurityTokenHandler.ValidateToken (SecurityToken маркер) в Microsoft.IdentityServer.Service.Tokens.MSISX509SecurityTokenHandler.ValidateToken (SecurityToken маркер) в Microsoft.IdentityServer .Web.WSTrust.SecurityTokenServiceManager.GetEffectivePrincipal (SecurityTokenElement securityTokenElement, SecurityTokenHandlerCollection securityTokenHandlerCollection) по адресу * 1 (дополнительные требования)