我已经在adfs依赖方信任上配置了一个应用程序,因此我可以使用adfs / sso登录.
之后i’va安装了simplesamlPHP来处理该登录,并处理响应saml.
这是我的authsources配置:
'myauth' => array(
'saml:SP',
'idp' => 'http://domain/adfs/services/trust',
'privatekey' => 'saml.key',
'certificate' => 'saml.crt',
),
Exception during login: sspmod_saml_Error:
Requester/InvalidNameIDPolicy Backtrace: 3
/home/……../adfs/simplesamlPHP/modules/saml/lib/Message.PHP:376
(sspmod_saml_Message::getResponseError) 2
/home/……../adfs/simplesamlPHP/modules/saml/lib/Message.PHP:503
(sspmod_saml_Message::processResponse) 1
/home/……../adfs/simplesamlPHP/modules/saml/www/sp/saml2-acs.PHP:81
(require) 0
/home/……../adfs/simplesamlPHP/www/module.PHP:135
(N/A)
我错过了什么吗?我如何获得该名称ID政策?在哪里定义它?
谢谢
解决方法:
simplesamlPHP通常使用UPN或电子邮件作为NameID.你需要检查配置.
所以在ADFS中,创建两个声明规则:
一个用于创建声明(UPN或电子邮件) – 普通的LDAP声明.
并且转换采用上述内容并转换为具有“瞬态”类型的NameId声明.
同样,simplesamlPHP可能没有使用瞬态 – 您需要检查配置.
更新:
假设UPN:
c:[Type ==“http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”,Issuer ==“AD AUTHORITY”]
=> issue(store =“Active Directory”,types =(“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn”),query =“; userPrincipalName; {0}”,param = c.Value);
c:[Type ==“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn”]
=> issue(Type =“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”,Issuer = c.Issuer,OriginalIssuer = c.OriginalIssuer,Value = c.Value,ValueType = c.ValueType,Properties [“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] =“urn:oasis:names:tc:SAML: 2.0:填充NameID格式:瞬态“);
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。