Wir haben mit einer Reihe von Kunden SAML-basiertes, SP-initiiertes SSO durchgeführt und (letztlich) hat alles geklappt.
Wir haben jetzt einen Kunden, der ADFS verwendet. Wir können idP-initiiert zum Laufen bringen, aber bei SP-initiiert erhalten sie einen Fehler:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust '[BASE-URI]' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
Ich kenne mich mit ADFS überhaupt nicht aus. Beim Googeln wurde festgestellt, dass wir eine vertrauenswürdige URL benötigen. Ich habe also online ein Beispiel gefunden und nach einigem Kopieren und Suchen ist hier meines:trust.xml. Die ADFS-Konfiguration wurde mit der URL für diese Datei aktualisiert.
Dies scheint keinen Unterschied zu machen, was mich zu einem der folgenden Gedanken bringt:
- Die ADFS-Konfiguration ist nicht richtig
- Die Datei trust.xml ist nicht richtig, daher erhält ADFS nicht, was es braucht
- Noch etwas, das mir nicht einmal bewusst ist
Alle Hinweise/Vorschläge werden dankbar entgegengenommen.