Добавление двух поставщиков утверждений с одинаковыми сертификатами ADFS (SAML2.0)

Я пытался добавить «виртуального» поставщика утверждений (поставщик удостоверений SAML 2.0) в ADFS, у меня есть другой поставщик утверждений с таким же сертификатом. Я получаю эту ошибку в ADFS2.0 в Windows Server 2012

MSIS7600 Каждое значение сертификата подписи для доверия поставщика утверждений должно быть уникальным для всех доверительных отношений поставщика утверждений в конфигурации ADFS 2.0.

Есть ли обходной путь, чтобы избежать этой проблемы?


saml-2.0 adfs adfs2.0
person Ibrahim Magdy    schedule 23.07.2014    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Нет, у меня тут то же самое. По-видимому, он должен быть уникальным. Я попытался добавить 2 арендаторов (2 клиента), поступающих из Windows Azure Active Directory, где все претензии всех арендаторов подписаны одним и тем же сертификатом.

Первый работает отлично, но на втором MSIS7600 отказывается позволить мне добавить вторую сторону претензий.

person Philippe    schedule 11.02.2015

arrow_upward
1
arrow_downward

У нас было то же самое, и мы решили это с помощью этого трюка.

  • Мы создали новый Azure AD, чтобы добавить его в ADFS.
  • Для каждого арендатора клиента мы хотим, чтобы пользователи могли входить в систему, мы запрашивали разрешения на чтение для этого арендатора; таким образом он был добавлен в вашу собственную подписку. Затем мы выбрали пользователей из клиентского клиента и добавили их в Azure AD, который будем использовать в ADFS.
  • Мы подключили ADFS к этому Azure AD

Теперь все наши клиенты могут войти в ADFS, используя свои собственные учетные данные. Единственное, что нам нужно сделать, это добавить существующих пользователей Azure AD из их собственного арендатора в нашу Azure AD.

Таким образом, вы можете добавить столько клиентов или внешних объявлений, сколько хотите, а также не «показывать» всех арендаторов в списке страницы ADFS. Поскольку в ADFS есть только один арендатор, жалоб на ошибку MSIS 7600 нет, и вам не нужно обновлять все арендаторы по отдельности.

person Philippe D.    schedule 14.04.2016

arrow_upward
1
arrow_downward

Филипп прав. Вы можете использовать функцию AzureAD B2B, которая позволяет войти в систему любому пользователю Azure AD в любом клиенте, чтобы иметь возможность войти в систему. Это делается по инвайту. Эта функция находится в предварительной версии. Это самый простой выбор. Однако с точки зрения ADFS политика применима только к одному объекту. Обнаружение домашнего царства может быть немного более утомительным.

Мы также исправили ADFS 2016, чтобы ослабить это ограничение по нескольким причинам. Теперь мы ограничиваем его на «Cert + Claims-Provider-Identifier». В этом мире вы сможете явно добавить любое количество клиентов Azure AD. Это исправление появится в следующем предварительном просмотре (скоро должно выйти).

person SamuelD MSFT    schedule 14.04.2016