联合身份验证服务无法为调用方“DOMAIN\Account”授权令牌发行答案

【问题标题】：The Federation Service could not authorize token issuance for caller 'DOMAIN\Account'联合身份验证服务无法为调用方“DOMAIN\Account”授权令牌发行
【发布时间】：2018-08-21 18:12:08
【问题描述】：

我在带有 SAML 2.0 的 Windows Server 2012 中使用 ADFS 为 MVC 应用程序实现 SSO。我开始遇到这个错误，我无法找到解决方法。我做错了什么？

The Federation Service could not authorize token issuance for caller 'xxx\xxxx
'. The caller is not authorized to request a token for the relying party 'https://example.com/SampleMvcApplication/AuthServices'. Please see event 501 with the same instance id for caller identity. 

Additional Data 
Instance id: xyz 
Relying party: https://example.com/SampleMvcApplication/AuthServices 
Exception details: 
Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity System.Security.Claims.ClaimsIdentity for relying party trust https://example.com/SampleMvcApplication/AuthServices.
   at System.IdentityModel.AsyncResult.End(IAsyncResult result)
   at System.IdentityModel.TypedAsyncResult`1.End(IAsyncResult result)
   at System.IdentityModel.SecurityTokenService.EndIssue(IAsyncResult result)
   at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue(IssueRequest issueRequest)
   at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest(Message requestMessage) 
User Action 
Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party.

【问题讨论】：

标签： single-sign-on adfs adfs2.0 adfs3.0 adfs2.1

【解决方案1】：

在此服务提供商 (SP) 的信赖方信任 (RPT) 中，查看“颁发授权规则”选项卡。您需要至少一个规则来发布声明类型 http://schemas.microsoft.com/authorization/claims/permit，其值为 true，并且没有声明发布声明类型 http://schemas.microsoft.com/authorization/claims/deny 的值为 true，但从技术上讲，我认为两者都不需要任何值。如果允许所有用户进入您的 SP 的前门，您可以使用添加规则下名为 Permit All Users 的规则模板。

【讨论】：

【解决方案2】：

您需要允许该用户使用 ADFS 中配置的信赖方。

ADFS 管理 -> 信赖方信任 -> 右键单击您的信赖方 -> 编辑声明规则 -> 颁发授权规则 -> 添加规则 -> 允许所有用户访问。

【讨论】：