我们正在尝试 Build 我们的开发环境,当WAP与ADFS发挥作用时,我们正面临着问题 . 以下是我们到目前为止的情况 .
我们的ADFS服务器与Active Directory绑定,并且与我们拥有的声明感知依赖方之一正常工作 .
但是,当我们为此ADFS服务器安装Web应用程序代理并在WAP中发布此声明感知RP时,ADFS Challenge不再有效 . 以下是流程
-
我要联系此已发布应用的外部网址
-
用户正在重定向到ADFS Challenge屏幕,其中包含Error .
当我转到ADFS 3.0事件查看器时,我看到事件ID 511,364的两个错误 .
Few things to note- 我正在使用内部CA为ADFS服务器颁发的证书 . WAP中发布的应用程序使用我们的内部CA颁发的证书 . 此公布的应用程序的此证书是否必须由公共CA颁发,即使这是开发人员 . 环境设置?
Error with Event ID 511-
由于联合服务配置无效,因此不允许传入登录请求 .
请求网址:/adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm=故意屏蔽它&returnUrl =故意屏蔽它&client-request-id =故意屏蔽它
User Action:请检查联合身份验证服务配置并执行以下操作:验证登录请求是否具有所有必需参数并且格式正确 . 验证是否存在Web应用程序代理信赖方信任,是否已启用,以及是否具有与登录请求参数匹配的标识符 . 验证目标信赖方信任对象是否存在,是否通过Web应用程序代理发布,以及是否具有与登录请求参数匹配的标识符 .
Error with Event ID 364-
联合被动请求期间遇到错误 .
附加数据
协议名称:
依赖方:
异常详细信息:Microsoft.IdentityServer.Web.InvalidRequestException:MSIS7009:请求格式错误或无效 . 请联系您的管理员了解详情在Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext,WrappedHttpListenerRequest请求)在Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest请求)在Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler( Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)中的WrappedHttpListenerRequest请求,ProtocolContext&protocolContext,PassiveProtocolHandler和protocolHandler)
任何帮助将不胜感激!!!如果您需要更多信息,请与我们联系 .
1 回答
这个问题的根源是我的开发机器上有一个主机文件条目,它将我的联合服务器域名指向我们服务器场中的特定ADFS机器,而不是我们的Web应用程序代理服务器场的NLB IP . 因此,请确保您的联合服务器域名正在解析为Web应用程序代理计算机 .
我在下面的论坛中发表了评论,
http://community.spiceworks.com/topic/593638-sharepoint-2013-web-application-proxy