要求:要验证我们的自定义STS实施以与Azure Active Directory联合。文档"STS Integration Paper using WS-* Protocols - Federation with Azure Active Directory"中提供的后续步骤。
为了测试自定义STS实现,我有一个桌面Lync 2013活动客户端(使用Microsoft Online Services登录助手),它尝试使用Azure AD中的联合域对自定义STS进行身份验证。
问题:自定义STS使用SAML1.1令牌发送RSTR以响应Lync的RST。但是,从Lync客户端到https://login.microsoftonline.com/RST2.srf的请求(RST)以故障响应结束,因为 “在联合帐户登录之前需要提供”。
我确实按照这些论坛链接中提出的建议1& 2,其中自定义STS为经过身份验证的用户发送具有ImmutableID和objectGUID值的SAML令牌为“4BNAbdFMKEe5xCw5iY2tYQ ==”。
注意:在Azure AD中,测试用户被称为源自“Microsoft Azure Active Directory”,并且Azure AD和本地目录之间不存在目录同步。
我是否遗漏了任何重要的步骤自定义STS实施或用户创建/配置?请提出您的意见。
答案 0 :(得分:1)
找到了解决方案:由于不存在目录同步,我在Microsoft Azure Active Directory中创建了一个新用户,并且自定义STS发送带有ImmutableID的SAML令牌,而带有Base64值的objectGUID解决了该问题。 所以基本上按照link,如果有人遇到同样的问题。