A autenticação SAML falha com o erro MSIS7075

Question

A autenticação SAML falha com o erro MSIS7075

#1 resposta do (1 votos)

1

Windows Server 2012 R2

Parte confiável do ADFS : RPIdentifier

Pontos de extremidade SAML : link e link vinculado ao POST

Criptografia : o certificado autoassinado usado para o ADFS é importado no Gerenciador do IIS e é usado pelo provedor de serviços para enviar a solicitação SAML

Políticas de autenticação : Ativado o formulário e a autenticação de certificado

Conta de serviço do ADFS : serviço em execução com uma conta que é membro dos seguintes grupos

Administradores
Admins. do domínio
Controladores de domínio
Usuários do domínio
Administradores da empresa
Proprietários do criador de política de grupo
Administradores de esquema
Grupo de acesso à autorização do Windows

O provedor de serviços solicita uma autenticação SAML:

<?xml version="1.0"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="_eee714b37b1be43404ba" Version="2.0" IssueInstant="2016-08-09T16:02:21.274Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="https://10.2.0.225/saml" Destination="https://myhost.domain/adfs/ls">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">RPIdentifier</saml:Issuer>
    <samlp:RequestedAuthnContext xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact">
        <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
    </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

A página de login é exibida, mas assim que as credenciais corretas forem inseridas e enviadas, uma página de erro será exibida contendo o texto:

Ocorreu um erro. Entre em contato com seu administrador para mais informações.

No servidor do ADFS, o seguinte erro é exibido no Visualizador de Eventos:

MSIS7075: O pedido de autenticação SAML para o perfil WebSSO não deve especificar nenhuma SubjectConfirmations

Eu dei uma olhada aqui (parágrafo 4.1.4.1) e, em seguida, verifiquei a solicitação XML, mas não consegui encontrar nenhuma tag "SubjectConfirmations" que seja boa de acordo com o especificado pela norma.

Como posso descobrir qual é a causa raiz do problema?

windows-server-2012-r2 adfs saml

por Bemipefe 10.08.2016 / 14:15

1 resposta

Tags windows-server-2012-r2 adfs saml

Limite de tempo de sessão ativa da Área de Trabalho Remota desativado, mas não respeitado Mcollective Falha ao definir o erro completo no modo verificado SSL

score 1 · Answer 1

Parece que signedsamlrequests = true está configurado, mas você não está enviando uma solicitação SAML assinada para o AD FS.

Quando você executa o comando abaixo, ele retorna TRUE?

(get-adfsproperties).signedsamlrequestsrequired

Se sim, use o comando abaixo para desligá-lo e testar novamente.

set-adfsproperties -signedsamlrequestsrequired $false

O ideal é configurar o aplicativo do RPIdentifier para enviar solicitações assinadas e configurar a confiança do RP com detalhes do certificado usado pelo RPIdentifier para assinar solicitações.

P.S. Sua conta de serviço do AD FS não deve ser privilegiada e não precisa ser. Apenas uma conta de usuário normal no AD será suficiente. Não é necessário ser membro de nenhum grupo que não seja usuário do domínio.

Remova a associação da conta de serviço de

• Administradores • Admins. Do domínio • Controladores de Domínio • Administradores da empresa • Proprietários Criadores de Diretiva de Grupo • Administradores de Esquemas

Seu identificador de RP só precisa saber sobre o certificado de autenticação de token usado pelo AD FS. Não tenho certeza do que você quis dizer com "Criptografia". Se o certificado de assinatura de token for alterado (por meio da substituição automática de certificados ou de outra forma), será necessário atualizar o lado do identificador de RP com detalhes do novo certificado de assinatura de token do AD FS. Da mesma forma, se os certificados do lado do RPIdentifier forem alterados, a confiança do RP no AD FS deverá ser atualizada.

Se o seu aplicativo espera que o AD FS envie as declarações criptografadas, o RPIdentifier precisa fornecer um certificado a ser usado para criptografia. Isso será configurado no trust RP no lado do AD FS. Observe que o certificado é fornecido pelo RPIdentifier.