1. casa
  2. Domanda e risposta
  3. Problema simpleSAML di ADFS 2.0: più di un reclamo basato su SamlNameIdentifierClaimResource è stato prodotto

Problema simpleSAML di ADFS 2.0: più di un reclamo basato su SamlNameIdentifierClaimResource è stato prodotto

2013-07-09 26 views
5

Sto provando a configurare un IDP ADFS 2.0 - la configurazione semplice di Samls SP, e sono bloccato, gli errori segnalati da ADFS ora devono essere trovati anche nel documentazione ufficiale di adfs. Ho con successo creato il partito inoltro, da App sp vengo reindirizzato al IDP, posso Authentify, ma al momento del reindirizzamento alla sp ottengo questo:Problema simpleSAML di ADFS 2.0: più di un reclamo basato su SamlNameIdentifierClaimResource è stato prodotto

The Federation Service could not fulfill the token-issuance request. 
More than one claim based on SamlNameIdentifierClaimResource was produced after the 
issuance transform rules were applies for relying party 'url here'. Please see event 
500 with the same instance id for claims after application of issuance transform rules. 

Additional Data 
Instance id: 44ef5c64-7bcb-4766-9016-75034b4fd7eb 

User Action 
Ensure that the issuance transform rules that are configured for the relying party do not result in multiple claims based on SamlNameIdentifierClaimResource.

Inoltre, un avvertimento:

More information for the event entry with instance id 44ef5c64-7bcb4766-9016-75034b4fd7eb. 
There may be more events with the same instance id with more information. 

Instance id: 
44ef5c64-7bcb-4766-9016-75034b4fd7eb 


Issued identity: 
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname 
user name i used 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier 
user name i used 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier 
CKTECHNO\user name i used 
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod 
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows 
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant 
2013-07-08T14:30:46.465Z

Ecco il mio conf:

adfs claims

active directory claim

name id claim

Ho cercato ovunque, non si parla di questo tipo di errore. Anche l'evento 500 non sembra trovare nei documenti di ms. Qualsiasi aiuto è molto apprezzato. Grazie!

fonte

2013-07-09 aciobanu

risposta

2

Prima di tutto, +1 per una domanda ben documentata.

Sospetto che il problema sia dovuto al fatto che il nome dell'account di Windows è una delle affermazioni integrate. Cosa succede se rimuovi la mappatura per sAMAccountName? (cioè, solo la trasformazione).

Inoltre, è più usuale utilizzare il nome dell'email. È quello che uso sempre.

fonte

2013-07-09 19:40:53 nzpcmad

+0

Bene, ho provato a utilizzare solo un reclamo di directory attivo, ma l'ID del nome che risultava non aveva il formato corretto (transitorio), ed è per questo che ho aggiunto un'altra regola per trasformarla. È a mia conoscenza che questo dovrebbe funzionare come una catena/pipe, ogni regola con un input e un output, quindi alla fine avrei solo un risultato, quello dal nome dell'account della regola al nome id. Ho sbagliato? Grazie! – aciobanu

3

Grazie a @nzpcmad, il problema era in effetti il ​​fatto che il nome dell'account viene aggiunto per impostazione predefinita, come lo sono anche i gruppi, e lo stavo creando due volte. È davvero un peccato che questo non sia chiaramente specificato, in quanto non si può davvero dire che sia così. Problema risolto.

fonte

2013-07-10 14:18:42 aciobanu

 Problemi correlati

  • Nessun problema correlato^_^