Anoche intentamos migrar un sitio web a nuestro nuevo proveedor de hosting. Este nuevo proveedor de alojamiento utiliza un descargador de SSL y esto causa un problema con un sitio web que utiliza SAML. Después de la migración, cuando intentamos iniciar sesión usando SAML, obtuvimos el siguiente error, en el error y en web.config cambié el nombre del cliente a cliente. Creemos que SAML espera una respuesta HTTPS pero obtiene una respuesta HTTP. ¿Hay alguna manera de influir en esto desde web.config. También agregué una parte de web.config con la mayor parte de la configuración del cliente con respecto a SAML, también lo probamos con CookieHandler en Falso pero el mismo error. ¡Espero que puedan ayudarnos!
Configuración web.config
<!-- SAML authService -->
<kentor.authServices
entityId="customersaml"
returnUrl="https://customer.domain.com"
validateCertificates="false">
<identityProviders>
<add entityId="http://ahauth01.customer.nl/adfs/services/trust" signOnUrl="https://ahauth01.customer.nl/adfs/ls/" allowUnsolicitedAuthnResponse="true" binding="HttpPost">
<signingCertificate fileName="~/Config/customer.crt" />
</add>
</identityProviders>
</kentor.authServices>
<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="true"/>
</federationConfiguration>
</system.identityModel.services>
<system.identityModel>
<identityConfiguration>
<securityTokenHandlers>
<securityTokenHandlerConfiguration>
<audienceUris mode="Never" />
</securityTokenHandlerConfiguration>
</securityTokenHandlers>
</identityConfiguration>
</system.identityModel>
ERROR
Saml Customersaml Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.AssertionConsumerServiceUrlDoesNotMatchPolicyException: MSIS3200: No hay AssertionConsumerService configurado en la confianza del usuario de confianza 'microsoft:identityserver:Customersaml' que es una coincidencia de prefijo de la URL de AssertionConsumerService 'http://Cliente.dominio.com/AuthServices/Acs' especificado por la solicitud. en Microsoft.IdentityServer.Service.SamlProtocol.EndpointResolver.LookupAssertionConsumerServiceByUrl (Collection`1assertionConsumerServices, Uri requestAssertionConsumerServiceUrl, String ScopeIdentity) en Microsoft.IdentityServer.Service.SamlProtocol.EndpointResolver.FindSamlResponseEndpointForAuthenticationRequest(Boolean artefactoEnabled, solicitud AuthenticationRequest, ScopeDescription alcanceDescription) en Microsoft.IdentityServer .Web.Protocols.Saml.SamlProtocolManager.GetResponseEndpointFromRequest (solicitud SamlRequest, booleano isUrlTranslationNeeded, alcance ScopeDescription) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue (HttpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf , String sessionState, String RelayState, String y newSamlSession, String& samlpAuthenticationProvider, booleano isUrlTranslationNeeded, contexto WrappedHttpListenerContext, booleano isKmsiRequested) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.RequestBearerToken (contexto WrappedHttpListenerContext, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehal fOf, cadena de confianzaPartyIdentifier, booleano isKmsiRequested, booleano isApplicationProxyTokenRequired, cadena y samlpSessionState, cadena y samlpAuthenticationProvider ) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, contexto WrappedHttpListenerContext, String dependyPartyIdentifier, SecurityTokenElement signOnTokenElement, booleano isKmsiRequested, booleano isApplicationProxyTokenRequired ) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext contexto, SecurityToken seguridadToken, SecurityToken dispositivoSecurityToken) en Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext contexto) en Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler) en Microsoft.IdentityServer.Web. PassiveProtocolListener.OnGetContext (contexto WrappedHttpListenerContext)
Respuesta1
Verifique la confianza del usuario de confianza en AD FS y observe los puntos finales. ¿Tiene un punto final para la ruta?http://Cliente.dominio.com/AuthServices/Acs'?