Question

我有一个网络应用程序。我正试图让它针对Win2012 R2 ADFS服务器进行身份验证。

我设置了依赖方，重定向，登录，然后将其重定向回应用程序作为失败请求。

在事件日志中我有：

MSIS7070：SAML请求包含已颁发令牌不满足的NameIDPolicy。请求的NameIDPolicy：AllowCreate：True格式：urn：oasis：names：tc：SAML：1.1：nameid-format：emailAddress SPNameQualifier :.实际NameID属性：null。

如果我读得正确，那么网络应用程序就会要求urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress，但找不到依赖方的政策。

在依赖方下，我有两条规则：

# get email address from active directory
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", 
types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);

规则2

transform email address to nameid/email
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 
Issuer = c.Issuer, 
OriginalIssuer = c.OriginalIssuer, 
Value = c.Value, 
ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"]
 = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

我已经仔细检查并确保格式匹配，但我仍然停留在错误消息上。

未找到AD FS电子邮件声明

0 个答案: