带有SharePoint的ADFS 2.0未被识别为受信任的应用程序并引发
我正在为SharePoint配置一个POC,并向第三方帐户提供商进行身份验证,遇到了几个问题,并且遵循microsoft在提供的文档。我看到的大多数文档都是针对ADFS 2.0 RTW的 问题是,当我尝试访问SharePoint网站时,我会被重定向到帐户提供商ADFS网站,并弹出NTLM提示符。当我输入我的凭证时,会出现以下错误 具有URL的应用程序的令牌请求”https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/“无法实现,因为URL未标识任何已知的信任应用程序。 这是我的设置 ADFS帐户提供程序(ADFS角色和DC位于不同的计算机中)带有SharePoint的ADFS 2.0未被识别为受信任的应用程序并引发,sharepoint,ssl,adfs,Sharepoint,Ssl,Adfs,我正在为SharePoint配置一个POC,并向第三方帐户提供商进行身份验证,遇到了几个问题,并且遵循microsoft在提供的文档。我看到的大多数文档都是针对ADFS 2.0 RTW的 问题是,当我尝试访问SharePoint网站时,我会被重定向到帐户提供商ADFS网站,并弹出NTLM提示符。当我输入我的凭证时,会出现以下错误 具有URL的应用程序的令牌请求”https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/“无法实现
- Windows 2008 R2
- 添加了ADFS角色
- 具有以下ADF参数
- 令牌签名证书“sts.adfsaccount.spaccount.com”
- 联合服务URI
- urn:federation:accountprovider
- 联合服务端点url
- https://sts.adfsaccount.spaccount.com/adfs/ls/
- 导出令牌签名证书,并在资源伙伴ADFS中导入该证书
- Windows 2008 R2
- 添加了ADFS角色
- 具有以下ADF参数
- 令牌签名证书“sts.staging.spresource.com”
- 联合服务URI
- urn:federation:resourceprovider
- 联合服务端点url
- https://sts.staging.spresource.com/adfs/ls/
- 具有以下受信任的应用程序,即sharepoint
- https://spadfsweb.spdev.com/_trust/,我有下面所有的组合
- https://spadfsweb.spdev.com/_trust/,我有下面所有的组合
- 导出令牌签名证书并将其导入帐户合作伙伴ADFS
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Data\Certs\stsadfsaccount_exporttokensign.cer")
New-SPTrustedRootAuthority -Name "Account Token Signing Cert" -Certificate $cert
$map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" –SameAsIncoming
$ap = New-SPTrustedIdentityTokenIssuer -Name "Staging Provider"-Description "User account domain from adfs to provide authenitcation" -Realm "urn:federation:resourceprovider" -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://sts.adfsaccount.spaccount.com/adfs/ls/" -IdentifierClaim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
---SharePoint具有资源提供程序的uri、帐户合作伙伴的签名证书和帐户合作伙伴的adfs url
如果我做错了什么,请告诉我
谢谢
Deepak您似乎建议使用ADFS 1.0。事实上,如果您按照您所说的那样执行,那么您已经配置了ADFS 1.0,而不是后续的ADFS 2.0。在我看来,任何新的部署都应该使用AD FS 2.0 上描述了您的错误消息;引述: 条件:服务器错误 错误:带有URL的应用程序的令牌请求https://... 无法实现,因为URL未标识任何已知的信任应用程序 解决方案:当应用程序URL未标识任何已知应用程序时,资源联合服务将返回此错误。确保已将应用程序添加到联合身份验证服务的信任策略中。有关如何执行此操作的更多信息,请参阅 对于声明感知应用程序,请验证在应用程序的web.config文件中键入的返回URL是否正确,以及它是否与联合身份验证服务的信任策略中指定的应用程序URL匹配 对于基于Windows NT令牌的应用程序,请验证在IIS的ADFS Web代理选项卡上键入的返回URL是否正确,以及是否与联合身份验证服务的信任策略中的应用程序URL匹配 另外,如果您还不知道,微软为ADFS 1.0创建了ADFS诊断工具;看见这一工具在追踪这一特定问题时可能很有用
希望这有帮助……您似乎建议使用ADFS 1.0。事实上,如果您按照您所说的那样执行,那么您已经配置了ADFS 1.0,而不是后续的ADFS 2.0。在我看来,任何新的部署都应该使用AD FS 2.0 上描述了您的错误消息;引述: 条件:服务器错误 错误:带有URL的应用程序的令牌请求https://... 无法实现,因为URL未标识任何已知的信任应用程序 解决方案:当应用程序URL未标识任何已知应用程序时,资源联合服务将返回此错误。确保已将应用程序添加到联合身份验证服务的信任策略中。有关如何执行此操作的更多信息,请参阅 对于声明感知应用程序,请验证在应用程序的web.config文件中键入的返回URL是否正确,以及它是否与联合身份验证服务的信任策略中指定的应用程序URL匹配 对于基于Windows NT令牌的应用程序,请验证在IIS的ADFS Web代理选项卡上键入的返回URL是否正确,以及是否与联合身份验证服务的信任策略中的应用程序URL匹配 另外,如果您还不知道,微软为ADFS 1.0创建了ADFS诊断工具;看见这一工具在追踪这一特定问题时可能很有用
希望这能帮上忙…谢谢Marnix真的帮了我的忙。。我在ADFS 1.0中。我下载了ADFS 2.0,它适用于SharePoint和ADFS位于同一域中的体系结构。现在我将致力于跨域身份验证,让我们看看我看到了多少问题。关于如何使用SharePoint跨域adfs 2.0,您有什么建议吗?谢谢Marnix,它确实帮助了我。。我在ADFS 1.0中。我下载了ADFS 2.0,它适用于SharePoint和ADFS位于同一域中的体系结构。现在我将致力于跨域身份验证,让我们看看我看到了多少问题。你有什么建议吗