Single sign on 使用ADFS的SSO的SAML错误-MSIS0038:SAML消息的签名错误

您好，我正在尝试使用SSO直接向我的网站验证我客户的用户。我的客户机的IDP是Microsoft ADFS，我正在使用Passport SAML（）配置SSO过程

在获得我给我的客户的一个特殊URL（例如：www.myClient.myCompany.com）后，用户（未经身份验证）会按预期重定向到客户登录页面。 输入凭证后，他仍然停留在登录页面，但SSO工作，因为用户已通过身份验证，这意味着如果他打开一个新选项卡并访问www.myClient.myCompany.com，他将被重定向到我的网站

以下是ADFS服务器日志中的错误：

The Federation Service encountered an error while processing the SAML authentication request. 

Additional Data 
Exception details: 
Microsoft.IdentityModel.Protocols.XmlSignature.SignatureVerificationFailedException: MSIS0038: SAML Message has wrong signature. Issuer: 'www.myCompany.co'.
   at Microsoft.IdentityServer.Protocols.Saml.Contract.SamlContractUtility.CreateSamlMessage(MSISSamlBindingMessage message)
   at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue(IssueRequest issueRequest)
   at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest(Message requestMessage)

---

谢谢你的时间

我对Microsoft ADFS和Passport SAML都不熟悉，但我认为当我们出现签名错误时，是因为IDp证书的SHA1 FingerSpring与我们端的不匹配

我们通过确保证书格式正确，然后计算FingerSpring来修复它们

格式： 指纹：

---

希望这是您的情况

不是Passport SAML专家，但ADF出现此错误的正常原因是：

• 签名不匹配-ADFS希望对AuthRequest进行签名，而不是签名，反之亦然

• 此RP中安装的签名证书已过期，或者是错误的证书，因为它不是客户端正在使用的证书

在RP级别，请查看：

获得AdfRelyingPartyTrust

[-需要签名的SamlRequests] [-SamlResponseSignature]

或全球：

获取ADFSProperties

需要签名的SAML请求
SamlauthnRequests签名

并检查：

获取AdfsCertificate-CertificateType“令牌签名”

（后续来自）

我们使用的是不同的，这对我们来说是一个不同的问题（我们的客户实际上有错误的签名），但在尝试调试的过程中，我偶然发现这听起来与您描述的非常相似

---

修复方法是安装。您是否可以检查您的客户是否在Windows Server 2008和2012上，是否安装了2843638或2843639，如果安装了，如果尚未安装修补程序，请安装修补程序？只是在黑暗中拍摄…

嘿@s1mpl3，感谢您抽出时间回答。在您的情况下，SSO在您解决问题之前根本不起作用？因为在我们的例子中，SSO可以工作，但在第一次登录时（在用户第一次使用其凭据进行身份验证之后）存在重定向问题，所以我描述的问题是针对单个IDp到SP的请求。不同的提供程序，但相同的错误签名。嘿@nzpcmad，“此错误”是指我只在第一次登录时出现重定向问题，还是说你一般都在谈论MSIS0038？您认为浏览器上保存的cookies会导致我的错误吗？我试图删除我浏览器的所有cookie，但它似乎起作用了…没有-一般。根据我的经验，这个问题不是cookie问题。