该公司有多个Active Directory域:
parent1.com child1.parent1.com child2.parent1.com child3.parent1.com parent2.com ... ...
根域在Office 365中配置为联合域(公共域名和AD域名相同);这很好用,用户可以使用他们的UPN登录到Office 365,例如user1@parent1.com,以及他们的AD密码.
我需要添加对子域的支持;因此,我通过运行以下命令将child1.parent1.com添加到Office 365(使用Connect-MsolService连接到具有管理员帐户的Office 365之后):
New-MsolFederatedDomain -DomainName child1.parent1.com -SupportMultipleDomain
(N.B.如果我没有使用SupportMultipleDomain参数,PowerShell会给出一个错误,说明它是必需的).
然后我继续在私有和公共DNS中添加所有必需的DNS记录; Office 365验证DNS记录报告一切正常.
然后将子域添加到AD Connect,并执行同步;因此,子域中的用户出现在Office 365中,其用户名如user1@child1.parent1.com.我为他们分配了适当的许可证,并尝试登录Office 365门户.
但是,子域的用户无法登录;他们收到“无效请求”错误,并提供以下附加详细信息:
Correlation ID: b1e47d45-b21c-42e9-9758-265804db7171 Timestamp: 2016-08-10 20:27:48Z AADSTS50107: Requested federation realm object 'http://child1.parent1.com/adfs/services/trust/' does not exist.
在ADFS方面显然有些不对劲,但我不是它的专家,我也不是那个设置它的人;如何解决此问题,以便子域中的用户可以成功登录到Office 365?
So lets say for example that I have bmcontoso.com and then add corp.bmcontoso.com. This means that the IssuerUri for a user from corp.bmcontoso.com will need to be http://bmcontoso.com/adfs/services/trust. However the standard rule implemented above for Azure AD,will generate a token with an issuer as http://corp.bmcontoso.com/adfs/services/trust which will not match the domain's required value and authentication will fail.
要解决此问题,应编辑ADFS中的第三个声明规则
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",Value = regexreplace(c.Value,".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
至
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid","^((.*)([.|@]))?(?<domain>[^.]*[.].*)$","http://${domain}/adfs/services/trust/"));
但是,请注意这可能会破坏与其他方案的兼容性,例如其父域未联合的实际第三级联合域.
原文地址:https://www.jb51.cc/windows/368832.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。