我们正在尝试设置我们的开发环境,当 WAP 与 ADFS 一起使用时,我们正面临问题。以下是我们目前所拥有的。
我们的 ADFS 服务器与 Active Directory 相关联,并且可以与我们拥有的一个声明感知依赖方一起正常工作。
但是当我们为此 ADFS 服务器安装 Web 应用程序代理并在 WAP 中发布此声明感知 RP 时,ADFS 挑战不再有效。下面是流程
当我转到 ADFS 3.0 事件查看器时,我看到两个错误,事件 ID 为 511、364。
注意事项- 我正在使用我们的内部 CA 为 ADFS 服务器颁发的证书。 WAP 中发布的应用程序使用的是我们内部 CA 颁发的证书。这个已发布应用程序的证书是否必须由公共 CA 颁发,即使这是一个开发者。环境设置 ?
事件 ID 511-
错误由于联合身份验证服务配置无效,不允许传入登录请求。
请求地址: /adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm=故意屏蔽&returnUrl=故意屏蔽&client-request-id=故意屏蔽
用户操作: 检查联合身份验证服务配置并执行以下操作: 验证登录请求是否具有所有必需的参数并且格式正确。 验证 Web 应用程序代理依赖方信任是否存在、已启用并且具有与登录请求参数匹配的标识符。 验证目标依赖方信任对象是否存在,是否通过 Web 应用程序代理发布,是否具有与登录请求参数匹配的标识符。
事件 ID 错误 364-
联合被动请求期间遇到错误。
附加数据
协议名称:
依赖方:
异常详情: Microsoft.IdentityServer.Web.InvalidRequestException:MSIS7009:请求格式错误或无效。有关详细信息,请联系您的管理员。 在 Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.ValidateSignInContext(MSISHttpSignInRequestContext msisContext,WrappedHttpListenerRequest 请求) 在 Microsoft.IdentityServer.Web.Protocols.MSISHttp.MSISHttpProtocolHandler.CreateProtocolContext(WrappedHttpListenerRequest 请求) 在 Microsoft.IdentityServer.Web.PassiveProtocolListener.GetProtocolHandler(WrappedHttpListenerRequest 请求、ProtocolContext& protocolContext、PassiveProtocolHandler& protocolHandler) 在 Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext 上下文)
任何帮助将不胜感激!!!如果您需要更多信息,请告诉我。
对我来说,这个问题的根源是我的开发机器上有一个主机文件条目,它将我的联合服务器域名指向我们场中的特定 ADFS 机器,而不是我们的 Web 应用程序代理场的 NLB IP。因此,请确保您的联合服务器域名解析为您的 Web 应用程序代理计算机。
我被以下论坛中的评论引导到这里,
http://community.spiceworks.com/topic/593638-sharepoint-2013-web-application-proxy
在我的例子中,我在客户端机器的主机文件中为 adfs 和 web 代理机器使用它们的公共 IP 做了单独的条目。
10.x.x.3 adfs.contoso.com(下一行)10.x.x.2 webproxy1.contoso.com
然后我将两个 IP 更改为相同但指向不同的机器。例如,联合身份验证服务名称是“adfs.contoso.com”,Web 代理计算机名称是 webproxy1.contoso.com。我创建了两个条目,网络代理的 IP 为
10.x.x.2 adfs.contoso.com(下一行) 10.x.x.2 webproxy1.contoso.com(或在 webproxy 中声明的外部 URL 名称)
使用主机文件中的 IP 条目创建 adfs 服务器会在重定向时直接与 ADFS 服务器联系,从而破坏此处的反向代理功能。
希望这对你有帮助。