个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
70
4
我在 Windows Server 2016 上使用 OpenID Connect 设置 ADFS 时遇到困难。
我已经设置了用于测试的 AD 并且我可以成功进行身份验证,但是电子邮件声明不在 id token 中。
此外,我在 Claims Provider 信任中设置了一个外部 ADFS。它显示为一个选项,但是在登录时出现错误:
MSIS9642: The request cannot be completed because an id token is required but the server was unable to construct an id token for the current user.
最佳答案
MSIS9642 的根本原因是 ADFS 2016 中新的 OpenID Connect 应用程序组功能需要向您的应用程序颁发访问 token 。此 token 必须包含用户身份。为了发布 token ,子系统必须了解 入站 声明中的哪个 声明用于 唯一标识 用户。
名为 AnchorClaimType 的新属性已添加到 Claim Provider Trust 模型中。
首次安装 ADFS 时,它会为 AD AUTHORITY 注册一个内置的 Claim Provider Trust,并将 AnchorClaimType 的值设置为
foo://schemas.microsoft.com/ws/2008/06/identity/claims/ windowsaccountname
您可以通过使用 powershell 命令 get-adfsclaimsprovidertrust 来查看这一点。
这就是 OpenID 在针对 Active Directory 进行身份验证时起作用的原因。
当您创建新的 Claim Provider Trust 时,系统不会设置 AnchorClaimType 。 OpenID 系统无法发出 token ,因为它不知道哪个入站声明构成了唯一的用户身份。这就是 OpenID 在针对外部声明提供者信任进行身份验证时不起作用的原因。
为了解决这个问题,您需要采取一些措施:
a) 验证您正在运行 Windows Server 2016 RTM 不幸的是,CTP 中不存在用于设置 AnchorClaimType 的 powershell 属性,并且无法使用 UI 设置该属性。
b) 从代表用户身份的入站 token 中选择一个声明并标识声明类型。在我们的例子中,我们与 Azure Active Directory 联合并选择 名称 ,类型为 foo://schemas.xmlsoap.org/ws/2005/05/identity/claims/ name
c) 将 Claim Provider Trust 的 AnchorTypeClaim 设置为使用 powershell 选择的类型
set-adfsclaimsprovidertrust -targetidentifier 标识符 -AnchorClaimType http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ 名称
(从 powershell get-adfsclaimsprovidertrust 获取 标识符 )
d) 创建至少一个通过主要输入声明值的入站规则,在我们的例子中为 Name
希望这可以帮助
关于active-directory - ADFS + OpenID Connect 电子邮件声明和外部 ADFS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35295260/
70
4
0
如何指示 webpack 排除所有 d3 模块? // does not work externals: { "d3-*": "d3" } 所以如果应用导入了d3-submod
这个问题在这里已经有了答案: 9年前关闭。 Possible Duplicate: What does “outer =>” really mean? 我在哪里可以找到有关信息 trait After
这是一个简单的循环,我正在尝试对性能进行基准测试。 var extremeLoop=function(n){ var time=new Date() var t=0; for(
问题+概述 下面是两个片段,其中包含最初隐藏的 div,然后通过单击 button 和 jQuery 的 .show() 显示。两个 div 都具有由外部样式表应用的 display: grid; 样
我有一个 HTML 页面和一个单独的 .js 文件,该文件包含在带有 的页面中标签。 这是我的 .js 文件: element = document.getElementById("test");
我在 linux 静态库项目中有 3 个文件,我想在两个类方法实现文件中使用的静态字段存在链接问题。我有 class1.h、class1main.cpp 和 class1utils.cpp。 clas
我正在尝试将颜色背景更改为默认背景颜色,当我点击输入框外 我尝试使用“null”或“none”但没有用? window.addEventListener('click', outsideClick);
我正在编写一个应用程序,要求用户在手机上选择各种类型的文件。我使用此代码启动文件选择器 Intent : Intent intent = new Intent(Intent.ACTION_GET_C
在 android 中,不可移动(内部)的外部存储和内部存储有什么区别?我不确定在哪里保存我的数据。我只需要保存一个人可以随时提取的游戏统计数据 谢谢 最佳答案 在许多较新的设备中,将不再有物理区别,
在 C++ 中,假设我们有这个头文件: myglobals.h #ifndef my_globals_h #define my_globals_h int monthsInYear = 12; #en
我正在尝试使用 externs 在 C++ 中连接到 Ada。这两种实现有什么区别? 实现A namespace Ada { extern "C" { int getN
这个问题在这里已经有了答案: Get selected element's outer HTML (30 个答案) 关闭 2 年前。 想象一下我们有这样的东西: Hello World 如果我们这样
假设我在模块的顶部有这个: Public Declare Function getCustomerDetails Lib "CustomerFunctions" () As Long 如果我从 VB6
我目前正在使用这段代码: var wordRandomizer = { run: function (targetElem) { var markup = this.creat
我们正在使用 SVN 试水,并以 Beanstalk 作为主机。我们的设置如下所示: 存储库:模块 模块一 模块二 模块 3 存储库:网站1 自定义网站代码 svn:对模块 1 的外部引用 svn:对
有没有办法在负载均衡器中设置自动外部 IP 分配给像谷歌这样的服务? 我在裸机上运行 Kubernetes。 谢谢 最佳答案 使用 nodePort 类型的服务,它会将您的服务绑定(bind)到所有节
是否有可能在 Controller 之外使用 generateUrl() 方法? 我尝试在带有 $this->get('router') 的自定义存储库类中使用它,但它没有用。 更新 我在这里找到了一
我目前正在尝试通过 Webpack 外部对象外部化 Angular 依赖项来缩短构建时间。到目前为止,我已经为 React 和其他小库实现了这一目标。 如果我只是移动 '@angular/compil
我想创建一个自动应用其他插件的插件(外部插件)。这要求在我称为“应用插件”之前为插件设置构建脚本依赖项。但是似乎我无法在插件中添加buildscript依赖项,或者得到了: 您不能更改处于未解析状态的
我是R包的创建者EnvStats . 有一个我经常使用的函数,叫做 stripChart .我刚开始学习ggplot2 ,并在过去几天里仔细研究了 Hadley 的书、Winston 的书、Stack
我是一名优秀的程序员,十分优秀!