我一直在尝试在ADFS中添加“虚拟”声明提供程序(SAML 2.0身份提供程序),我有另一个声明提供程序具有相同的证书 . 我在Windows Server 2012中的ADFS2.0上出现此错误
MSIS7600声明提供程序信任的每个签名证书值在ADFS 2.0配置中的所有声明提供程序信任中必须是唯一的
是否有任何解决方法可以避免此问题?
我们在这里有同样的事情,并通过使用这个技巧解决它
我们创建了一个 new Azure AD ,目的是这是我们要在ADFS中添加的 .
对于我们希望用户能够登录的每个客户租户,我们询问是否要求该租户具有读取权限;这样它就会添加到您自己的订阅中 . 然后,我们从客户租户中选择了用户,并将其添加到我们将在ADFS中使用的Azure AD中 .
我们将ADFS连接到此Azure AD
我们所有的客户现在都可以使用自己的凭据登录ADFS . 我们唯一要做的就是将现有Azure AD用户从他们自己的租户添加到Azure AD .
这样,您可以根据需要添加任意数量的客户或外部广告,也不会在ADFS页面列表中“显示”所有租户 . 因为ADFS中只有一个租户,所以没有抱怨错误MSIS 7600,您不必单独更新所有租户 .
菲利普是对的 . 您可以使用AzureAD B2B功能,该功能允许您登录任何租户中的任何Azure AD用户以便能够登录 . 这是通过邀请完成的 . 此功能已预览 . 这是最简单的选择 . 但是,从ADFS的角度来看,策略只在一个实体上 . 家庭领域的发现可能会更乏味一些 .
我们还修复了ADFS 2016以放宽此约束,原因有几个 . 我们现在将其限制在“Cert claim-provider-identifier”上 . 在这个世界中,您将能够清楚地添加任何#Autad AD租户 . 此修复将在下一个预览中出现(应该很快就会出来) .
不,我在这里得到了同样的东西 . 显然它必须是独一无二的 . 我尝试添加来自Windows Azure Active Directory的2个租户(2个客户),其中所有租户的所有声明都使用相同的证书进行签名 .
第一个工作完美,但在第二个工作,MSIS7600拒绝让我添加第二个索赔方 .
3 回答
我们在这里有同样的事情,并通过使用这个技巧解决它
我们创建了一个 new Azure AD ,目的是这是我们要在ADFS中添加的 .
对于我们希望用户能够登录的每个客户租户,我们询问是否要求该租户具有读取权限;这样它就会添加到您自己的订阅中 . 然后,我们从客户租户中选择了用户,并将其添加到我们将在ADFS中使用的Azure AD中 .
我们将ADFS连接到此Azure AD
我们所有的客户现在都可以使用自己的凭据登录ADFS . 我们唯一要做的就是将现有Azure AD用户从他们自己的租户添加到Azure AD .
这样,您可以根据需要添加任意数量的客户或外部广告,也不会在ADFS页面列表中“显示”所有租户 . 因为ADFS中只有一个租户,所以没有抱怨错误MSIS 7600,您不必单独更新所有租户 .
菲利普是对的 . 您可以使用AzureAD B2B功能,该功能允许您登录任何租户中的任何Azure AD用户以便能够登录 . 这是通过邀请完成的 . 此功能已预览 . 这是最简单的选择 . 但是,从ADFS的角度来看,策略只在一个实体上 . 家庭领域的发现可能会更乏味一些 .
我们还修复了ADFS 2016以放宽此约束,原因有几个 . 我们现在将其限制在“Cert claim-provider-identifier”上 . 在这个世界中,您将能够清楚地添加任何#Autad AD租户 . 此修复将在下一个预览中出现(应该很快就会出来) .
不,我在这里得到了同样的东西 . 显然它必须是独一无二的 . 我尝试添加来自Windows Azure Active Directory的2个租户(2个客户),其中所有租户的所有声明都使用相同的证书进行签名 .
第一个工作完美,但在第二个工作,MSIS7600拒绝让我添加第二个索赔方 .