我已经在adfs依赖方信任上配置了一个应用程序,因此我可以使用adfs / sso登录.
之后i’va安装了simplesamlPHP来处理该登录,并处理响应saml.
这是我的authsources配置:
'myauth' => array(
'saml:SP',
'idp' => 'http://domain/adfs/services/trust',
'privatekey' => 'saml.key',
'certificate' => 'saml.crt',
),
Exception during login: sspmod_saml_Error:
Requester/InvalidNameIDPolicy Backtrace: 3
/home/……../adfs/simplesamlPHP/modules/saml/lib/Message.PHP:376
(sspmod_saml_Message::getResponseError) 2
/home/……../adfs/simplesamlPHP/modules/saml/lib/Message.PHP:503
(sspmod_saml_Message::processResponse) 1
/home/……../adfs/simplesamlPHP/modules/saml/www/sp/saml2-acs.PHP:81
(require) 0
/home/……../adfs/simplesamlPHP/www/module.PHP:135
(N/A)
我错过了什么吗?我如何获得该名称ID政策?在哪里定义它?
谢谢
解决方法:
simplesamlPHP通常使用UPN或电子邮件作为NameID.你需要检查配置.
所以在ADFS中,创建两个声明规则:
一个用于创建声明(UPN或电子邮件) – 普通的LDAP声明.
并且转换采用上述内容并转换为具有“瞬态”类型的NameId声明.
同样,simplesamlPHP可能没有使用瞬态 – 您需要检查配置.
更新:
假设UPN:
c:[Type ==“http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”,Issuer ==“AD AUTHORITY”]
=> issue(store =“Active Directory”,types =(“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn”),query =“; userPrincipalName; {0}”,param = c.Value);
c:[Type ==“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn”]
=> issue(Type =“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”,Issuer = c.Issuer,OriginalIssuer = c.OriginalIssuer,Value = c.Value,ValueType = c.ValueType,Properties [“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] =“urn:oasis:names:tc:SAML: 2.0:填充NameID格式:瞬态“);
