聯合身份驗證服務無法授權呼叫方“ DOMAIN \\ Account”發行令牌
[英]The Federation Service could not authorize token issuance for caller 'DOMAIN\Account'
問題描述
我在Windows Server 2012中使用帶有SAML 2.0的ADFS來為MVC應用程序實現SSO。 我開始遇到此錯誤,無法找到解決方法。 我究竟做錯了什么?
The Federation Service could not authorize token issuance for caller 'xxx\xxxx
'. The caller is not authorized to request a token for the relying party 'https://example.com/SampleMvcApplication/AuthServices'. Please see event 501 with the same instance id for caller identity.
Additional Data
Instance id: xyz
Relying party: https://example.com/SampleMvcApplication/AuthServices
Exception details:
Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity System.Security.Claims.ClaimsIdentity for relying party trust https://example.com/SampleMvcApplication/AuthServices.
at System.IdentityModel.AsyncResult.End(IAsyncResult result)
at System.IdentityModel.TypedAsyncResult`1.End(IAsyncResult result)
at System.IdentityModel.SecurityTokenService.EndIssue(IAsyncResult result)
at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue(IssueRequest issueRequest)
at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest(Message requestMessage)
User Action
Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party.
2 個解決方案
解決方案1
1 2018-03-14 16:09:47
在此服務提供商(SP)的依賴方信任(RPT)中,查看“發行授權規則”選項卡。 您將至少需要有一條規則才能發出具有true值的聲明類型http://schemas.microsoft.com/authorization/claims/permit ,並且沒有發出聲明類型http://schemas.microsoft.com/的聲明授權/聲明/拒絕 ,其值為true ,盡管從技術上講,我認為這兩者均不需要任何值。 如果允許所有用戶進入SP的前門,則可以使用“添加規則”下的規則模板,稱為“ 允許所有用戶” 。
解決方案2
1 2019-05-10 10:05:38
您需要允許該用戶用作ADFS中配置的依賴方。
ADFS管理->依賴方信任->右鍵單擊依賴方->編輯索賠規則->發行授權規則->添加規則->允許所有用戶訪問。
如何使用Java服務提供程序驗證WS-Federation SAML令牌
[英]How to validate WS-Federation SAML tokens with Java Service Provider
如果所有RP和STS是在內部開發的,則聯盟對於跨域SSO是否有效?
[英]Is federation a valid approach for cross-domain SSO In case all the RPs and the STS are developed internally?
授權Web應用程序的用戶並允許他們訪問API服務
[英]Authorize users of web application and allow them to access the API service
WS Federation:SSO是否屬於WS Federation規范?
[英]WS Federation: Is SSO apart of the WS Federation specification?
Django中sso-login的問題,Error GET /authorize/?token= HTTP/1.1"404 250
[英]Problem with sso-login in Django, Error GET /authorize/?token= HTTP/1.1"404 250
Spring-Security + SAML:授權多個應用程序充當單個服務提供者
[英]Spring-Security + SAML: authorize multiple applications acting as a single service provider
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
無法獲取域用戶
如何使用Java服務提供程序驗證WS-Federation SAML令牌
本地 Web API 2 授權不使用 Azure 身份令牌
用於跨域身份驗證的JWT令牌
如果所有RP和STS是在內部開發的,則聯盟對於跨域SSO是否有效?
授權Web應用程序的用戶並允許他們訪問API服務
WS Federation:SSO是否屬於WS Federation規范?
Django中sso-login的問題,Error GET /authorize/?token= HTTP/1.1"404 250
Spring-Security + SAML:授權多個應用程序充當單個服務提供者
在多個不同域的網站上使用單個帳戶登錄
相關標簽