我的環境中有 ADFS,目前它正在透過活動目錄進行身份驗證,效果非常好。我正在嘗試啟用憑證身份驗證,以便他們可以使用智慧卡進行身份驗證。目前,智慧卡已匯入到他們的 AD 帳戶中,並且可以成功提示他們選擇正確的憑證和登入(只是不是來自 ADFS)。我還檢查了客戶端根 CA 是否都位於受信任的根憑證授權單位憑證儲存中,並且它們都存在。
在 ADFS 中,我啟用了憑證驗證、入站連接埠 49443(從用戶端到 ADFS 伺服器的入站),並且憑證登入選擇顯示在 ADFS 登入頁面上。當我點擊憑證登入時,我收到以下錯誤:
" 發生錯誤。請求中找不到有效的用戶端憑證。使用者的憑證儲存中未找到有效的憑證。請關閉並重新開啟瀏覽器後重試,並選擇其他驗證方法。
活動 ID:25ef4526-fcb4-4f64-0c00
錯誤詳細資訊:MSIS7121:請求不包含可用於身份驗證的有效用戶端憑證。當用戶端電腦上沒有有效憑證時,例如所有憑證都已過期或被撤銷,就會發生這種情況。錯誤代碼:0x490
節點名稱:a22ee49a-fa2d
錯誤時間:2022 年 12 月 20 日星期二 14:55:31 GMT
Cookie:已啟用
使用者代理字串:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,如 Gecko)Chrome/108.0.0.0 Safari/537.36"
無論我是在客戶端電腦上還是直接在 Web 瀏覽器中的 ADFS 伺服器本身上,我都會得到此資訊。有沒有人遇過這個?
答案1
我認為這是您需要將憑證對應到使用者的情況。在您的 AD 伺服器上嘗試:
若要將 x509 憑證對應到單一用戶,請前往:dsa.msc(AD 用戶和電腦)-> 啟用進階功能 -> 右鍵點選使用者 -> 名稱對應。
您可以在此處將憑證對應到嘗試使用 cert auth 進行驗證的使用者。
希望有幫助。