Ich versuche, eine ADFS 2.0 IDP - simplesaml saml sp - Konfiguration einzurichten, und ich bin blockiert, die von ADFS gemeldeten Fehler sind jetzt auch in der gefunden Offizielle ADFs Dokumentation. Ich habe die Weiterleitung Partei, von der sp App i erfolgreich auf den IDP erhalten umgeleitet einrichten, i authentifizieren kann, aber bei der Weiterleitung an den sp bekomme ich diese:ADFS 2.0 simpleSAML - Problem: Es wurde mehr als ein Anspruch basierend auf SamlNameIdentifierClaimResource erstellt.
The Federation Service could not fulfill the token-issuance request.
More than one claim based on SamlNameIdentifierClaimResource was produced after the
issuance transform rules were applies for relying party 'url here'. Please see event
500 with the same instance id for claims after application of issuance transform rules.
Additional Data
Instance id: 44ef5c64-7bcb-4766-9016-75034b4fd7eb
User Action
Ensure that the issuance transform rules that are configured for the relying party do not result in multiple claims based on SamlNameIdentifierClaimResource.
Auch eine Warnung:
More information for the event entry with instance id 44ef5c64-7bcb4766-9016-75034b4fd7eb.
There may be more events with the same instance id with more information.
Instance id:
44ef5c64-7bcb-4766-9016-75034b4fd7eb
Issued identity:
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
user name i used
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
user name i used
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
CKTECHNO\user name i used
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
2013-07-08T14:30:46.465Z
Hier ist meine conf:
Ich suchte alle, es gibt keine Erwähnung dieser Art von Fehler. Selbst das 500-Ereignis scheint ich nicht in den MS-Dokumenten zu finden. Jede Hilfe wird sehr geschätzt. Vielen Dank!
Nun, ich habe versucht, nur einen Active Directory-Anspruch zu verwenden, aber die Name ID, die daraus resultierte, hatte nicht das richtige Format (transient), und deshalb habe ich eine weitere Regel hinzugefügt, um sie zu transformieren. Es ist mein Verständnis, dass dies wie eine Kette/ein Rohr funktionieren sollte, jede Regel hat eine Eingabe und eine Ausgabe, so am Ende hätte ich nur ein Ergebnis, das aus dem Regelkontoname zur Namenskennung. Liege ich falsch? Danke! – aciobanu