【发布时间】:2014-09-14 09:56:33
【问题描述】:
我一直在尝试在 ADFS 中添加“虚拟”声明提供程序(SAML 2.0 身份提供程序),我有另一个具有相同证书的声明提供程序。我在 Windows Server 2012 中的 ADFS2.0 上收到此错误
MSIS7600 声明提供者信任的每个签名证书值在 ADFS 2.0 配置中的所有声明提供者信任中必须是唯一的
有什么办法可以避免这个问题吗?
【问题讨论】:
【发布时间】:2014-09-14 09:56:33
【问题描述】:
不,我在这里得到了同样的东西。显然它必须是独一无二的。我尝试添加来自 Windows Azure Active Directory 的 2 个租户(2 个客户),其中所有租户的所有声明都使用相同的证书进行签名。
第一个完美运行,但在第二个上,MSIS7600 拒绝让我添加第二个索赔方。
【讨论】:
我们这里有同样的事情,用这个技巧解决了它
- 我们创建了一个新的 Azure AD,目的是我们要添加到 ADFS 中。
- 对于我们希望用户能够登录的每个客户租户,我们要求请求对该租户的读取权限;这样它就添加到了您自己的订阅中。然后,我们从客户租户中选择用户并将其添加到我们将在 ADFS 中使用的 Azure AD。
- 我们将 ADFS 连接到此 Azure AD
我们所有的客户现在都可以使用自己的凭据登录 ADFS。我们唯一要做的就是将现有 Azure AD 用户从他们自己的租户添加到我们的 Azure AD。
通过这种方式,您可以根据需要添加尽可能多的客户或外部广告,并且不会在 ADFS 页面的列表中“显示”所有租户。因为 ADFS 中只有一个租户,所以不会抱怨 MSIS 7600 错误,您不必单独更新所有租户。
【讨论】:
菲利普是对的。您可以使用 AzureAD B2B 功能,该功能允许您登录任何租户中的任何 Azure AD 用户才能登录。这是通过邀请完成的。此功能处于预览阶段。这是最简单的选择。但是,从 ADFS 的角度来看,策略仅针对单个实体。家庭领域的发现可能有点乏味。
出于几个原因,我们还修复了 ADFS 2016 以放宽此限制。我们现在将其限制在“Cert + claim-provider-identifier”上。在这个世界上,您将能够清楚地添加任意数量的 Azure AD 租户。此修复程序将在下一个预览版中发布(应该很快就会发布)。
【讨论】: