ADFS 3.0 auf Win 2012 generiert 1 Stunde abgelaufene SAML-Zusicherungen

Question

Ich verwende Win 2012 und installierte ADFS 3.0 darauf. Der Server ist so konfiguriert, dass er SAML 2.0-Assertionen ab sofort auf eine einzelne vertrauende Seite (meine Testanwendung) generiert.

Ich bekomme den Assertions ist abgelaufen Fehler auf der Seite der vertrauenden Partei, also habe ich SAML Tracer verwendet, um die generierte Assertion zu überprüfen und festgestellt, dass die generierten Assertionen von Win 2012 Server selbst 1 Stunde von der aktuellen Serverzeit abgelaufen sind.

Der Teil von SAML-Assertion: NotBefore = "2016-05-05T12: 19: 15.789Z" NotOnOrAfter = "2016-05-05T13: 19: 15.789Z"

Und meine Server-Zeit an diesem Punkt war 2.29 Uhr auf der Systemuhr.

Irgendeine Idee, was diesen Zeitunterschied verursacht und wie man es repariert?

Answer 1

Dies bedeutet in der Regel, dass Ihr App Server einen erheblichen Zeitversatz vom ADFS-Server aufweist und die Validierungsbibliothek für Ihre App dies nicht zulässt. Ich denke, dass die Standardabweichung für Zeitverschiebung in ADFS 5 Minuten ist, aber ich kann mich irren.

Versuchen Sie zuerst, die Zeit synchron zu bekommen. Wenn Sie von NTP-Servern synchronisieren, sollte dies normalerweise OK sein.

Sie können auch versuchen, die SKEW-Einstellung in ADFS zu ändern. Dies wird nicht empfohlen, da sichergestellt werden muss, dass die Server die Zeitsynchronisierung durchführen.

Set-ADFSRelyingPartyTrust -NotBeforeSkew "5" -targetname "your app name"