Как исправить ошибку «неизвестный принципал» с помощью службы управления доступом Windows Azure (ACS) и пользовательской службы STS

Question

Я работаю над проверкой концепции федеративной аутентификации.

Я создал пользовательскую STS (в основном переписывание образца Windows Identity Foundation Basic STS) и настроила доверяющие стороны дляиспользуйте это успешно.

Следующим этапом PoC является использование Azure ACS, чтобы разрешить федеративный вход в систему с учетными данными Google / LiveID / etc, а также теми, которые предоставляются пользовательскими STS.не удается заставить Azure ACS принять токен от пользовательского STS.

Приведены следующие ошибки:

ACS20001: An error occurred while processsing a WS-Federation sign-in response
ACS50008: SAML token is invalid
ACS50026: Principal with name 'mysts.mycorp.co.uk' is not a known principal

Теперь мне кажется, что ACS не может расшифровать SAMLтокен из пользовательской службы STS, но единственным сертификатом дешифрования, установленным в Azure ACS, является тот, который используется для подписи и шифрования токена ответа с помощью пользовательской службы STS.

Что мне здесь не хватает?

Answer 1

Ответ, конечно, смотрел мне в лицо ...

ACS требует, чтобы имя поставщика в метаданных федерации для STS идеально соответствовало этому имени в токене ...

В моем app.config я пропустил http:// для имени эмитента - ACS интерпретировал отсутствие интродьюсера как ссылку на сертификат и искал сертификат с эмитентом CN=mysts.mycorp.co.uk, а не http://mysts.mycorp.co.uk