1. Zuhause
  2. Frage und Antwort
  3. ADFS 2.0 simpleSAML - Problem: Es wurde mehr als ein Anspruch basierend auf SamlNameIdentifierClaimResource erstellt.

ADFS 2.0 simpleSAML - Problem: Es wurde mehr als ein Anspruch basierend auf SamlNameIdentifierClaimResource erstellt.

2013-07-09 14 views
5

Ich versuche, eine ADFS 2.0 IDP - simplesaml saml sp - Konfiguration einzurichten, und ich bin blockiert, die von ADFS gemeldeten Fehler sind jetzt auch in der gefunden Offizielle ADFs Dokumentation. Ich habe die Weiterleitung Partei, von der sp App i erfolgreich auf den IDP erhalten umgeleitet einrichten, i authentifizieren kann, aber bei der Weiterleitung an den sp bekomme ich diese:ADFS 2.0 simpleSAML - Problem: Es wurde mehr als ein Anspruch basierend auf SamlNameIdentifierClaimResource erstellt.

The Federation Service could not fulfill the token-issuance request. 
More than one claim based on SamlNameIdentifierClaimResource was produced after the 
issuance transform rules were applies for relying party 'url here'. Please see event 
500 with the same instance id for claims after application of issuance transform rules. 

Additional Data 
Instance id: 44ef5c64-7bcb-4766-9016-75034b4fd7eb 

User Action 
Ensure that the issuance transform rules that are configured for the relying party do not result in multiple claims based on SamlNameIdentifierClaimResource.

Auch eine Warnung:

More information for the event entry with instance id 44ef5c64-7bcb4766-9016-75034b4fd7eb. 
There may be more events with the same instance id with more information. 

Instance id: 
44ef5c64-7bcb-4766-9016-75034b4fd7eb 


Issued identity: 
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname 
user name i used 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier 
user name i used 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier 
CKTECHNO\user name i used 
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod 
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows 
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant 
2013-07-08T14:30:46.465Z

Hier ist meine conf:

adfs claims

active directory claim

name id claim

Ich suchte alle, es gibt keine Erwähnung dieser Art von Fehler. Selbst das 500-Ereignis scheint ich nicht in den MS-Dokumenten zu finden. Jede Hilfe wird sehr geschätzt. Vielen Dank!

Quelle

2013-07-09 aciobanu

Antwort

2

Vor allem +1 für gut dokumentierte Frage.

Ich vermute, das Problem liegt daran, dass der Windows-Kontoname einer der eingebauten Ansprüche ist. Was passiert, wenn Sie das Mapping für sAMAccountName entfernen? (d. h. nur die Transformation haben).

Außerdem ist es üblich, den E-Mail-Namen zu verwenden. Das ist die, die ich immer benutze.

Quelle

2013-07-09 19:40:53 nzpcmad

+0

Nun, ich habe versucht, nur einen Active Directory-Anspruch zu verwenden, aber die Name ID, die daraus resultierte, hatte nicht das richtige Format (transient), und deshalb habe ich eine weitere Regel hinzugefügt, um sie zu transformieren. Es ist mein Verständnis, dass dies wie eine Kette/ein Rohr funktionieren sollte, jede Regel hat eine Eingabe und eine Ausgabe, so am Ende hätte ich nur ein Ergebnis, das aus dem Regelkontoname zur Namenskennung. Liege ich falsch? Danke! – aciobanu

3

Dank @NZPCMAD, das Problem war in der Tat die Tatsache, dass der Kontoname standardmäßig hinzugefügt wird, wie auch die Gruppen sind, und ich habe es zweimal erstellt. Es ist wirklich eine Schande, dass dies nicht klar spezifiziert ist, da man nicht wirklich sagen kann, dass dies der Fall ist. Problem gelöst.

Quelle

2013-07-10 14:18:42 aciobanu

 Verwandte Themen

  • Keine verwandten Themen^_^