Вход в ADFS выдает ошибку Microsoft.IdentityServer.Web.UnsupportedSamlRequestException

Question

Я пытаюсь подключить gitlab к ADFS для единого входа (SSO). В gitlab config у меня определены эти значения.

assertion_consumer_service_url:'https://myhost/users/auth/saml/callback',
 idp_cert_fingerprint: '',
 idp_sso_target_url: 'https://myadfshost/adfs/ls',
 issuer: 'https://myhost',

Я добавил доверие проверяющей стороны в ADFS.и добавил пользователя в AD для аутентификации.когда я перехожу на https://mygitlabhost., я получаю страницу ADFS с опцией входа в систему.после ввода пароля пользователя меня перенаправляют на страницу входа в gitlab с этой ошибкой:

Could not authenticate you from SAML because "The status code of the response was not success, was responder".

Когда я проверяю журнал событий ADFS, я получаю эту ошибку:

Обнаружена ошибка во время пассивной федерациизапрос.

Additional Data 

Protocol Name: 
Saml 

Relying Party:

https://mygitlabhost 

Exception details: 
Microsoft.IdentityServer.Web.UnsupportedSamlRequestException: MSIS7076: The configured passive endpoint 'https://win-i52r11kn5sa.rohit.local/adfs/ls/' is not a prefix of the incoming SAML message Destination URI 'https://myadfshost/adfs/ls'.
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.ValidateIncomingSamlMessage(SamlMessage samlMessage)
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String relayState, String& newSamlSession, String& samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested)
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken(WrappedHttpListenerContext context, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider)
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext context, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, Boolean isKmsiRequested, Boolean isApplicationProxyTokenRequired)
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext context, SecurityToken securityToken, SecurityToken deviceSecurityToken)
   at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext context)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

Может ли это быть из-за неправильно настроенных ssl-сертификатов?если не ват может быть проблемой?

Answer 1

Это может быть связано с метаданными или конфигурацией.

Отправили ли вы URL-адрес метаданных ADFS на сторону SAML?

Сторона SAML настроена для отправки на https://myadfshost/adfs/ls.

Настроенная конечная точка ADFS: https://win -i52r11kn5sa.rohit.local / adfs / ls / .

Поэтому сторона SAML должна отправлять на https://win -i52r11kn5sa.rohit.local / ADFS / лс .