我正在尝试使用客户端证书身份验证为SharePoint应用程序实现客户端身份验证。
用户的证书由外部证书颁发机构颁发,我们通过名称映射CN的证书值,将证书映射到Active Firectory中的用户。但是,证书的CN与Active Directory中的UPN不匹配,我无法控制CN的创建方式(外部CA)。
当用户尝试通过客户端证书登录时(我们启用带证书的外部身份验证+将所有根CA添加到受信任存储,以便可以信任客户端证书),系统会提示用户选择证书,之后,他们会收到以下错误:
联合身份验证服务在处理WS-Trust请求时遇到错误。
请求类型:schemas.microsoft.com/idfx/requesttype/issue
其他数据异常详细信息:
System.ComponentModel.Win32Exception(0x80004005):Microsoft.IdentityModel.Claims上Microsoft.IdentityModel.Claims.WindowsClaimsIdentity.CertificateLogon(X509Certificate2 x509Certificate)的Microsoft.IdentityModel.Tokens.X509SecurityTokenHandler.KerberosCertificateLogon(X509Certificate2证书)上的用户名或密码不正确。 .WindowsClaimsIdentity.CreateFromCertificate(X509Certificate2 certificate,Boolean useWindowsTokenService,String issuerName)atMicrosoft.IdentityModel.Tokens.X509SecurityTokenHandler.ValidateToken(SecurityToken token)at Microsoft.IdentityServer.Service.Tokens.MSISX509SecurityTokenHandler.ValidateToken(SecurityToken token)at Microsoft.IdentityServer.Web。 Microsoft.IdentityServer.Web.WSTrust.SecurityTokenServiceManager.Issue(RequestSecurityToken请求,IList1& identityClaimSet, List1 additionalClai)中的WSTrust.SecurityTokenServiceManager.GetEffectivePrincipal(SecurityTokenElement securityTokenElement,SecurityTokenHandlerCollection securityTokenHandlerCollection)女士)
确保使用证书的指纹完成备用ID匹配。
根据您的错误消息,一些可能的情况是:
在子域中手动创建用户,并查看用户是否可以登录。如果不能,则禁用对象的继承并为服务帐户分配“读取所有属性”权限 - 从用户中删除任何“拒绝”权限。