Проблема ADFS - не работает автоматический вход - PullRequest
0 голосов
/ 10 июня 2019

У меня проблема при входе в приложение с использованием ADFS через веб-браузер (IE или Chrome).Я хочу автоматически и прозрачно войти в систему пользователя (текущий пользователь вошел в систему) с помощью ADFS SAML без ввода этих идентификаторов.

Итак, у меня есть 2 сервера под управлением Windows 2016 Server: - первый Serv1: доменконтроллер с каталогом Active Directory - второй сервер Serv2: ADFS (4.0), и это соединение с контроллером Serv1

, когда я пытался получить доступ к своему приложению, я сталкиваюсь со следующей ошибкой:

Произошла ошибка.Обратитесь к администратору для получения дополнительной информации

Идентификатор активности: 00000000-0000-0000-d000-0080000000fa Проверяющая сторона: preprod.xxxxxxxxx.com - DMS Время ошибки: Пн, 10 июня 2019 13:27:07 GMT Cookie:включена строка User agent: Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 75.0.3770.80 Safari / 537.36

Мы можем видеть ниже вЖурнал событий ADFS на сервере ADFS:

Обнаружена ошибка во время пассивного запроса федерации.

Дополнительные данные

Имя протокола: Saml

Проверяющая сторона: https://preprod.xxxxxxxxx.com:443/auth/saml/metadata/alias/dms

Сведения об исключении: Microsoft.IdentityServer.AuthenticationFailedException: MSIS3111:Пользователь домена не поддерживается AD FS.---> System.IdentityModel.Tokens.SecurityTokenValidationException: MSIS3111: не доменный пользователь не поддерживается AD FS.на Microsoft.IdentityServer.Service.LocalAccountStores.ActiveDirectory.ActiveDirectoryCpTrustStore.ProcessPrincipal (IClaimsPrincipal incomingPrincipal) в Microsoft.IdentityServer.Service.SecurityTokenService.MSISSecurityTokenService.BeginGetScope (IClaimsPrincipal принципала, запрос RequestSecurityToken, AsyncCallback обратного вызова, состояние объекта) при Microsoft.IdentityModel.SecurityTokenService.SecurityTokenService.BeginIssue (принципал IClaimsPrincipal, запрос RequestSecurityToken, обратный вызов AsyncCallback, состояние объекта) по адресу Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue (запрос RequestSecurityToken.WLS.SubmitRequest (запрос MSISRequestSecurityToken, IList 1& identityClaimCollection) --- End of inner exception stack trace --- at Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.SubmitRequest(MSISRequestSecurityToken request, IList 1 & identityClaimCollection) в Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.RequestBearerToken (MSISRequestSecurityToken signInRequest, удостоверение личности Uri & responseIolity, Uri & answerIolite, ILCServer.Web.Protocols.PassiveProtocolHandler.RequestSingleSignOnToken (ProtocolContext контекст, SecurityToken SecurityToken, SecurityToken deviceSecurityToken) при Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSsoSecurityToken (SamlSignInContext контексте, SecurityToken SecurityToken, SecurityToken deviceSecurityToken, SecurityToken & ssoSecurityToken) в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken (контекст SamlSignInContext, SecurityToken securityToken, SecurityToken deviceSecurityToken) в Microsoft.IdentityServer.Web.Proestcols.Saml.protocolContext, PassiveProtocolHandler protocolHandler) в Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext (контекст WrappedHttpListenerContext)

System.IdentityModel.Tokens.SecurityTokenValidationException:MSIS3111: не доменный пользователь не поддерживается AD FS.по адресупринципал, запрос RequestSecurityToken, обратный вызов AsyncCallback, состояние объекта) в Microsoft.IdentityModel.SecurityTokenService.SecurityTokenService.BeginIssue (принцип IClaimsPrincipal, запрос RequestSecurityToken, обратный вызов AsyncCallback, состояние объекта).IList 1& identityClaimSet, List 1 AdditionalClaims) в Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.SubmitRequest (запрос MSISRequestSecurityToken, IList`1 & identityClaimCollection)

На другой машине, у меня есть эта ошибка:

1037 *https://srv -adfs.ppppppppp.local / ADFS / LS / WIA? SAMLRequest = jZJBb4JAEIXv% 2FRVk77CAaHQjGFtjamJTIthDb8OyIhV26c5i% 2BvOLotFeTJO57GTmm5f3djr7qSvrKDSWSobEc1xiCclVXsoiJNt0aY% 2FJLHqaItSV37B5a% 2FZyI75bgcaaIwptur0XJbGthU6EPpZcbDfrkOyNaZBR2mjRaJU7SuW6PAqHq5oFwYBCR6InKk2SdwpVCUjzGom16NClBHPWc6WgPtrZobEh36GTAT% 2B0TaFV2zjIeU1PXVohJdZSaS7OIkOygwoFsVaLkMA% 2By3aDcTH0vvKxnweBPxZ8UnDu8WGWdTMYA2In77aF2IqVRAPShMR3vYntjmzPTb2AdeX7zmjgfRIr1soorqrnUvaWtVoyBVgik1ALZIazZP62Zr7jsqwfQvaaprEdvycpsT6u1vsn67swJLLe7Mes5nKYRH027KxY3xMeA% 2BCaHon% 2Bn1UtDORg4BbYlN6fjy7Pvz8l% 2BgU% 3D & RelayState =% 7C% 7Cbackup-WebClient & SigAlg = HTTP% 3A% 2F% 2Fwww.w3.org% 2F2001% 2F04% 2Fxmldsig-более% 23rsa-sha256 & Подпись = SxWuSQC3I77BXcfCxR% 2Bicp1ES% 2FgrQDZdx8W8XPxC51JRmNeVxfXI% 2BDWgCV8bMrTl% 2BYc8I6VZPJxDVPPzTQEZihQaXl0ib2Q268OiNwU1bN9pDL6EpuMM9nCxuEQEdtW58M% 2F% 2Bjs07j1Rp40VD8AVbvQrpv67AgXXdLWGrSSvZHPwrHLy8fhpSDmg57F8g1zD5% 2BMpijrx% 2F4n5e8MIK6fBUDPWfAaWCjXgHoo% 2B7PFr% 2Fp8w5MMa9ZPLDg7yQrMGSQ3on1UxpM091Uu85S% 2ByI0aYDHmgZk% 2BmGwBUblDWleenUwyAMjopZ3TJx4% 2Feng2uBD8% 2FbLfWUmbitMMMdsLbIOEb% 2Bng% 3D% 3D и клиент-запрос-ID = 00000000-0000-0000-1201-0080000000dc * * * тысяча сорок одна тысяча сорок-две *

HTTP 400 BadRequest Веб-страница не может быть найдена

У вас есть идея об этой проблеме?Спасибо

1 Ответ

0 голосов
/ 08 июля 2019

Я решил проблему, установив имя участника-службы (SPN) для учетной записи службы ADFS. HTTP / FQDN

...