我从 ADFS 2.0 事件日志中收到一个奇怪的错误,如下所示:
“Federation Service 无法完成令牌颁发请求,因为依赖方 'https://my-relying-party' 缺少 WS-Federation Passive 端点地址。
此请求失败。
用户操作
使用 AD FS 2.0 管理插件在此依赖方上配置 WS-Federation Passive 终结点。"
这发生在 ADFS 2.0 成功验证 SAML 响应但显然未能为依赖方应用程序颁发令牌之后。
我在 ADFS 2.0 中将 IDP 和 SP 都配置为 SAML 2.0,所以我不明白为什么需要 WS-Federation 端点?
任何帮助将不胜感激。
【问题讨论】:
您的 Web 应用程序使用的是 WS-Federation 协议还是 SAML 协议 (SAML-P)?如果您的 Web 应用程序基于 WIF,那么您使用的是 WS-Federation。请注意,这两种协议都使用 SAML tokens。
如果您的应用程序使用 WS-Federation 协议,那么您需要在 AD FS 依赖方信任中设置 WS-Federation 端点。如果它使用 SAML 协议,您需要设置 SAML 协议端点。
根据您的错误消息,您的应用程序可能会使用 WS-Federation,因此您需要设置 WS-Federation 端点。
【讨论】:
您的 SAML 2.0 SP (ADFSv2) 和您的 RP 应用程序之间的集成是通过 WS-Federation Passive Requester Profile 完成的。因此,您需要设置您的应用程序以接收 WS-Fed 响应并对其进行适当的解析。您还必须配置 ADFSv2 以生成此消息(根据您收到的错误消息)。
希望这会有所帮助 - 伊恩
【讨论】:
您需要将 Web 应用程序 url 添加到依赖方属性中的端点。
【讨论】:
手动或在联合文件中添加 ws-federation 被动引用将解决问题。
如果您需要详细指导,请告诉我。
【讨论】: