我一直试图添加一个"虚拟"在ADFS中声明提供程序(SAML 2.0身份提供程序),我有另一个声明提供程序具有相同的证书。我在Windows Server 2012中的ADFS2.0上出现此错误
MSIS7600声明提供程序信任的每个签名证书值在ADFS 2.0配置中的所有声明提供程序信任中必须是唯一的
是否有任何解决方法可以避免此问题?
答案 0 :(得分:1)
不,我在这里得到了同样的东西。显然它必须是独一无二的。我尝试添加来自Windows Azure Active Directory的2个租户(2个客户),其中所有租户的所有声明都使用相同的证书进行签名。
第一个工作完美,但在第二个工作中,MSIS7600拒绝让我添加第二个索赔方。
答案 1 :(得分:1)
我们在这里有同样的事情并通过使用这个技巧来解决它
我们所有的客户现在都可以使用自己的凭据登录ADFS。我们唯一要做的就是将现有的Azure AD用户从他们自己的租户添加到我们的Azure AD。
这样,您可以根据需要添加任意数量的客户或外部广告,也不会在ADFS页面列表中“显示”所有租户。因为ADFS中只有一个租户,所以不会抱怨错误MSIS 7600,并且您不必单独更新所有租户。
答案 2 :(得分:1)
菲利普是对的。您可以使用AzureAD B2B功能,该功能允许您登录任何租户中的任何Azure AD用户以便能够登录。这是通过邀请完成的。此功能已预览。这是最简单的选择。但是,从ADFS的角度来看,策略只在一个实体上。家庭领域的发现可能会更乏味一些。
我们还修复了ADFS 2016以放宽此约束,原因有几个。我们现在将其限制在“Cert + claim-provider-identifier”上。在这个世界中,您将能够清楚地添加任何#Autad AD租户。此修复程序将在下一个预览中出现(应该很快就会出来)。