我正在使用向第三方帐户提供商进行身份验证的方式为SharePoint配置POC,并遇到几个问题,并按照Microsoft在http://technet.microsoft.com/en-us/library/cc731443(v=ws.10).aspx处提供的文档进行操作。我看到的大多数文档都是关于ADFS 2.0 RTW的
问题是当我尝试访问SharePoint网站时,我被重定向到帐户提供者ADFS网站,并弹出NTLM提示。输入凭证后,出现以下错误
URL为“ https://spadfsweb.spdev.com/_layouts/Authenticate.aspx?Source=/”的应用程序的令牌请求无法满足,因为该URL无法识别任何已知的信任应用程序。
这是我的设置
ADFS帐户提供者(ADFS角色和DC在单独的计算机中)
Windows 2008 R2
添加了ADFS角色
对于ADFS具有以下参数
令牌签名证书“ sts.adfsaccount.spaccount.com”
联合身份验证服务URI
ur:联邦:帐户提供商
联合身份验证服务端点网址
https://sts.adfsaccount.spaccount.com/adfs/ls/
导出令牌签名证书并将其导入资源伙伴ADFS中
ADFS资源合作伙伴(ADFS角色和DC在单独的计算机中)
Windows 2008 R2
添加了ADFS角色
对于ADFS具有以下参数
令牌签名证书“ sts.staging.spresource.com”
联合身份验证服务URI
ur:联邦:资源提供者
联合身份验证服务端点网址
https://sts.staging.spresource.com/adfs/ls/
具有以下受信任的应用程序,它是共享点
https://spadfsweb.spdev.com/_trust/,我有各种各样的组合,如下所示
https://spadfsweb.spdev.com
https://spadfsweb.spdev.com/_layouts
导出令牌签名证书并将其导入到帐户合作伙伴ADFS中
以下是我配置SharePoint网站的步骤
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Data\Certs\stsadfsaccount_exporttokensign.cer")
New-SPTrustedRootAuthority -Name "Account Token Signing Cert" -Certificate $cert
$map = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
$map2 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" –SameAsIncoming
$ap = New-SPTrustedIdentityTokenIssuer -Name "Staging Provider"-Description "User account domain from adfs to provide authenitcation" -Realm "urn:federation:resourceprovider" -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://sts.adfsaccount.spaccount.com/adfs/ls/" -IdentifierClaim http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
--- SharePoint具有资源提供者的uri,帐户伙伴的签名证书和帐户伙伴的adfs url
如果我做错了事,请告诉我。
谢谢
迪帕克
最佳答案
您似乎建议您使用的是ADFS 1.0。实际上,如果按照您所说的http://technet.microsoft.com/en-us/library/cc731443%28v=ws.10%29.aspx进行操作,则说明已配置ADFS 1.0,而不是后继AD FS 2.0。我认为任何新的部署都应使用AD FS 2.0。
您的错误消息在the ADFS 1.0 troubleshooting page上描述;引用:
条件:服务器错误
错误:URL为https:// ...的应用程序的令牌请求无法满足,因为该URL无法识别任何已知的信任应用程序
解决方案:当应用程序URL无法识别任何已知应用程序时,资源联合身份验证服务将返回此错误。确保已将应用程序添加到联合身份验证服务的信任策略中。有关如何执行此操作的更多信息,请参见Complete the Add Applications Wizard。
对于支持声明的应用程序,请验证在应用程序的web.config文件中正确键入了返回URL,并确保其与联合身份验证服务的信任策略中指定的应用程序URL匹配。
对于基于Windows NT令牌的应用程序,请验证在IIS的“ ADFS Web代理”选项卡上正确键入了返回URL,并且它与联合身份验证服务的信任策略中的应用程序URL匹配。
另外,如果您还不清楚的话,Microsoft为ADFS 1.0创建了ADFS诊断工具。参见this blog post to download。该工具可能对于跟踪此特定问题很有用。
希望这可以帮助...
关于sharepoint - 带有SharePoint的ADFS 2.0无法识别为受信任的应用程序并抛出,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/10077768/