在资源合作伙伴组织中实施联合 Web SSO设计以访问 SharePoint 以及在分步教程Windows Server 2012 R2 AD FS – 联合 Web SSO中看似正确地完成所有操作时,有些事情不太正确。
- 帐户组织用户无法登录,因为浏览器在资源合作伙伴和帐户合作伙伴 ADFS 之间跳转,直到它在帐户合作伙伴 ADFS 上生成以下事件 ID 364:
Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '3' seconds. Contact your administrator for details. - 资源合作伙伴组织用户登录没有问题
- 它与 saml 令牌时间戳无关。我检查了生命周期是否设置正确。没有时区问题或其他配置问题。
- 我看到正在发布主 SID,但想知道为什么没有发布在 SharePoint 中设置为标识符声明的电子邮件令牌
- 在帐户合作伙伴 ADFS 服务器上,我将电子邮件声明传递给资源合作伙伴依赖方。在资源合作伙伴 ADFS 服务器上,在声明提供程序中,我正在传递(接受)电子邮件声明。在依赖方,我将 ldap 属性电子邮件映射到传出电子邮件声明(哎呀,这最后一句话实际上是罪魁祸首,但对我来说并不明显)
对另一个问题的答案的评论导致解决方案指出:
原来对于 SharePoint 依赖方,我有一个规则“将 LDAP 属性作为声明发送”,它将传入电子邮件声明映射到传出电子邮件声明。原来我需要一个“通过或过滤传入的 Caim”才能通过它。
答对了。“发送 LDAP 属性...”规则意味着必须查询 Active Directory 属性存储。好吧,资源合作伙伴没有信息可以从他自己的 AD 中获取以提取电子邮件地址。因此我只需要通过它,而不是获取我自己的广告。Create a Rule to Send LDAP Attributes as Claims 文档说明了这一点: