我們已經與許多客戶完成了基於 SAML 的 SP 發起的 SSO,一切都很好(最終)。
我們現在有一位客戶正在使用 ADFS。我們可以讓 idP 啟動正常運作,但使用 SP 啟動時會發生錯誤:
Exception details:
Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: The requested relying party trust '[BASE-URI]' is unspecified or unsupported. If a relying party trust was specified, it is possible that you do not have permission to access the trust relying party. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlSignInContext.Validate()
at Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.GetRequiredPipelineBehaviors(ProtocolContext pContext)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
我對ADFS一點也不熟悉。谷歌搜尋說我們需要一個依賴的信任 URL,所以我在網路上找到了一個範例,經過一些 C&P,這是我的:信任.xml。 ADFS 設定已使用此檔案的 URL 進行更新。
這似乎沒有任何區別,這讓我想到以下其中之一:
- ADFS 配置不正確
- trust.xml 檔案不正確,因此 ADFS 無法取得所需的內容
- 還有一些我甚至不知道的事情
任何指示/建議將不勝感激。