在我们的SSO场景中,我们使用ADFS 2.0作为IDP, Shibboleth作为SP。这是SP发起的登录。配置后,当我尝试在Shibboleth和ADFS 2.0之间建立通信(抛出浏览器重定向)时,ADFS 2.0抛出以下错误:
SAML消息签名验证失败。消息发布者:
http://sampleserver/adfs/services/trust异常详细信息:MSIS1015:服务器需要签名的SAML AuthenticationRequest,但没有签名。
事件id - 320相关事件id - 364
> Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolSignatureVerificationException:
> MSIS1015: Server required signed SAML AuthenticationRequest but no
> signature present. at
> Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ValidateSignatureRequirements(SamlMessage
> samlMessage) at
> Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue(IssueRequest
> issueRequest) at
> Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest(Message
> requestMessage)
我们还没有使用任何签名。我还使SignedSamlRequest在ADFS属性中为false。Shibboleth的SAML签署也被禁用。
我在微软网站上找不到任何信息——除了这类错误的通用指南。
请对这个错误给出建议。
经过大量分析,我找到了解决方案。这是Shibboleth配置问题。在应用程序默认值部分,实体ID应该是应用程序唯一的。
ApplicationDefaults signing="false" entityID="http://URL受保护应用程序"REMOTE_USER="eppn persistent-id target -id"
当signing设置为true时,会发生此错误的另一种变化。这将导致ADFS中的签名不匹配错误。