azure - 如何使用 Windows Azure 访问控制服务 (ACS) 和自定义 STS 修复 "not a known principal"错误

Question

我正在研究联合身份验证的概念证明。

我创建了一个自定义 STS(基本上是 Windows Identity Foundation Basic STS 示例的重写)并设置了依赖方以成功使用它。

PoC 的下一阶段是使用 Azure ACS 允许使用 Google/LiveID/etc 凭据以及自定义 STS 提供的凭据进行联合登录。

一切正常，除了我无法让 Azure ACS 接受来自自定义 STS 的 token 。

给出的错误是:

ACS20001: An error occurred while processsing a WS-Federation sign-in response
ACS50008: SAML token is invalid
ACS50026: Principal with name 'mysts.mycorp.co.uk' is not a known principal

现在，对我来说，ACS 似乎无法从自定义 STS 解密 SAML token ，但 Azure ACS 中安装的唯一解密证书是自定义 STS 用于签名和加密响应 token 的证书。

我在这里缺少什么？

Answer 1

答案当然是盯着我的脸......

ACS 要求 STS 联合元数据中的颁发者名称完全与 token 中的颁发者名称匹配...

在我的 app.config 中，我错过了颁发者名称的 http:// - ACS 将缺少介绍人解释为证书引用并正在寻找证书发行人 CN=mysts.mycorp.co.uk 而不是 http://mysts.mycorp.co.uk