私たちは、数多くの顧客と SAML ベースの SP 開始 SSO を実行しましたが、すべて (最終的に) 問題ありませんでした。
現在、ADFS を使用している顧客がいます。idP 開始は正常に動作しますが、SP 開始ではエラーが発生します。
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust '[BASE-URI]' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
私は ADFS についてまったく詳しくありません。Google で調べたところ、信頼関係 URL が必要だとあったので、オンラインで例を見つけて、C&P をいくつか試した結果、次のようになりました。信頼.xmlこのファイルの URL で ADFS 構成が更新されました。
これは何の違いもないように思われますが、次のようなことが考えられます。
- ADFSの設定が正しくありません
- trust.xml ファイルが正しくないため、ADFS は必要なものを取得できません
- 私が気づいていないもう一つのこと
ご意見やご提案がありましたら、ぜひお聞かせください。