Hemos realizado un SSO iniciado por SP basado en SAML con varios clientes y todo ha ido bien (finalmente).
Ahora tenemos un cliente que usa ADFS. Podemos hacer que el iniciado por idP funcione bien, pero con el iniciado por SP obtienen un error:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust '[BASE-URI]' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
No estoy nada familiarizado con ADFS. Buscar en Google dijo que necesitamos una URL confiable, así que encontré un ejemplo en línea y después de algunos C&P, aquí está el mío:confianza.xml. La configuración de ADFS se actualizó con la URL de este archivo.
Esto no parece hacer ninguna diferencia, lo que me hace pensar en una de las siguientes cosas:
- La configuración de ADFS no es correcta
- El archivo trust.xml no es correcto, por lo que ADFS no obtiene lo que necesita
- Algo más de lo que ni siquiera soy consciente
Cualquier consejo/sugerencia será bienvenido.