我们正在努力建立我们的开发环境,当WAP与ADFS发挥作用时,我们正面临着问题。以下是我们到目前为止的情况。
我们的ADFS服务器与Active Directory绑定,并且与我们拥有的声明感知依赖方之一一起正常运行。
但是,当我们为此ADFS服务器安装Web应用程序代理并在WAP中发布此声明感知RP时,ADFS质询不再有效。以下是流程
当我转到ADFS 3.0事件查看器时,我看到事件ID 511,364的两个错误。
很少有事情需要注意 - 我正在使用由我们的内部CA为ADFS服务器颁发的证书。 WAP中发布的应用程序使用我们的内部CA颁发的证书。此公布的应用程序的此证书是否必须由公共CA颁发,即使这是开发人员。环境设置?
错误事件ID 511 -
由于联合身份验证服务配置无效,因此不允许传入登录请求。
请求网址: /adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm=故意掩盖它& returnUrl =故意掩盖它& client-request-id =故意掩盖它
用户操作: 检查联合身份验证服务配置并执行以下操作: 验证登录请求是否具有所有必需参数并且格式正确。 验证是否存在Web应用程序代理信赖方信任,是否已启用,以及是否具有与登录请求参数匹配的标识符。 验证目标信赖方信任对象是否存在,是否通过Web应用程序代理发布,以及是否具有与登录请求参数匹配的标识符。
错误事件ID 364 -
联盟被动请求期间遇到错误。
其他数据
协议名称:
依赖方:
异常详情: Microsoft.IdentityServer.Web.InvalidRequestException:MSIS7009:请求格式错误或无效。请联系您的管理员了解详情 在Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext,WrappedHttpListenerRequest request) 在Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest request) 在Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(WrappedHttpListenerRequest请求,ProtocolContext& protocolContext,PassiveProtocolHandler& protocolHandler) 在Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
任何帮助将不胜感激!!!如果您需要更多信息,请与我们联系。
答案 0 :(得分:0)
这个问题的根源是我的dev机器上有一个主机文件条目,它将我的联合服务器域名指向我们服务器场中的特定ADFS机器,而不是我们的Web应用程序代理服务器场的NLB IP。因此,请确保您的联合服务器域名正在解析为Web应用程序代理计算机。
我在以下论坛发表了评论,
http://community.spiceworks.com/topic/593638-sharepoint-2013-web-application-proxy