Active directory 无法使用AD FS替代登录登录到Office 365
我将AD FS 3.0服务器配置为代理,并将其与Office 365联合。 active directory域名为domain.local,用户电子邮件地址为domain-plus.be。无法更改用户UPN,因此我选择配置Office 365。我还更改了以下Microsoft Office 365 Identity Platform声明。 这样,用户就可以使用该电子邮件地址登录到adfsuser@domain-plus.be不更改upn 现在我遇到了以下情况:Active directory 无法使用AD FS替代登录登录到Office 365,active-directory,office365,adfs,windows-server-2012-r2,Active Directory,Office365,Adfs,Windows Server 2012 R2,我将AD FS 3.0服务器配置为代理,并将其与Office 365联合。 active directory域名为domain.local,用户电子邮件地址为domain-plus.be。无法更改用户UPN,因此我选择配置Office 365。我还更改了以下Microsoft Office 365 Identity Platform声明。 这样,用户就可以使用该电子邮件地址登录到adfsuser@domain-plus.be不更改upn 现在我遇到了以下情况: 当我登录到一台加入域的计算机,并
- 当我登录到一台加入域的计算机,并在用户的internet站点中添加AD FS登录页面URL时。用户导航到并输入其电子邮件地址,然后被重定向并自动登录到Office 365门户。不需要密码,这是应该的
- 当我使用相同的加入域的计算机并使用Chrome而不是IE时,在上输入电子邮件地址后,我会重定向到AD FS登录页面。但当我在其中输入密码时,AD FS日志中出现以下错误:
- 当我尝试登录外部时,我遇到了与第二个相同的问题 情景
Gijs。我们可以通过以下命令扩展ADFS上的SupportedUserAgents来解决Chrome的问题: 设置AdfsProperties–WiaSupportDuserAgents@(“MSAuthHost/1.0/域中”、“MSIE 6.0”、“MSIE 7.0”、“MSIE 8.0”、“MSIE 9.0”、“MSIE 10.0”、“Trident/7.0”、“MSIPC”、“Windows权限管理客户端”、“Mozilla/5.0”、“Edge/12”) 关于身份验证问题,我们注意到用户存在时,OU上有特殊的读取权限。这些权限是故意更改的,或者是因为软件安装(如cpsm门户)而更改的 经过身份验证的用户无法再对OU进行完全读取,因此无法进行LDAP查询。 我们为我们的服务帐户提供了必要的OU的完整读取权限,从而解决了问题 因此,在我们的例子中,下面的错误与接收格式不正确的数据无关,我们根本无法读取数据 Microsoft.IdentityServer.Service.AccountPolicy.AdaAccountLookupException:MSIS8013:用户的规范名称:“”:“CN=Testmailmigration,OU=Users,OU=Bio,DC=Bio,DC=local”格式不正确 问候,, Gijs