claims-based-identity - 使用 Web 应用程序代理时 ADFS 3.0 错误事件 ID 511 和 364

Question

我们正在尝试建立我们的开发环境，当 WAP 与 ADFS 一起使用时，我们面临着问题。以下是我们目前所拥有的。

我们的 ADFS 服务器与 Active Directory 相关联，并且可以与我们拥有的声明感知依赖方之一正常工作。

但是，当我们为此 ADFS 服务器安装 Web 应用程序代理并在 WAP 中发布此声明感知 RP 时，ADFS 挑战不再起作用。下面是流程

我将访问此已发布应用程序的外部 URL

用户被重定向到带有错误的 ADFS Challenge 屏幕。

当我转到 ADFS 3.0 事件查看器时，我看到两个错误，事件 ID 为 511、364。

有几点需要注意-
我正在使用我们的内部 CA 为 ADFS 服务器颁发的证书。
WAP 中发布的应用程序使用的是我们的内部 CA 颁发的证书。这个已发布应用程序的证书是否必须由公共(public) CA 颁发，即使这是开发人员。环境设置？

事件 ID 511 出错 -

由于无效的联合身份验证服务配置，不允许传入的登录请求。

请求网址:
/adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm= 故意掩盖它&returnUrl=故意掩盖它&client-request-id= 故意掩盖它

用户操作:
检查联合身份验证服务配置并执行以下操作:
验证登录请求是否包含所有必需的参数并且格式正确。
验证 Web 应用程序代理信赖方信任是否存在、已启用并且具有与登录请求参数匹配的标识符。
验证目标信赖方信任对象是否存在，是否通过 Web 应用程序代理发布，并且具有与登录请求参数匹配的标识符。

事件 ID 364 出错 -

在联合被动请求期间遇到错误。

附加数据

协议(protocol)名称:

依赖方:

异常详情:
Microsoft.IdentityServer.Web.InvalidRequestException:MSIS7009:请求格式错误或无效。有关详细信息，请联系您的管理员。
在 Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext，WrappedHttpListenerRequest 请求)
在 Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest 请求)
在 Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(WrappedHttpListenerRequest 请求，ProtocolContext&protocolContext，PassiveProtocolHandler&protocolHandler)
在 Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext 上下文)

任何帮助将不胜感激!!!如果您需要更多信息，请告诉我。

Answer 1

对我来说，这个问题的根源在于我的开发机器上有一个主机文件条目，它将我的联合服务器域名指向我们场中的特定 ADFS 机器，而不是指向我们的 Web 应用程序代理场的 NLB IP。因此，请确保您的联合服务器域名解析到您的 Web 应用程序代理机器。

我被以下论坛中的评论引导到这个，

http://community.spiceworks.com/topic/593638-sharepoint-2013-web-application-proxy