Комбинация SAML и SSL Offloader вызывает ошибку
Вчера вечером мы попытались перенести сайт на нашего нового хостинг-провайдера. Этот новый хостинг-провайдер использует загрузчик SSL, и это вызывает проблемы с сайтом, использующим SAML. После миграции, когда мы попытались войти в систему с использованием SAML, мы получили сообщение об ошибке ниже, в файле error и web.config я изменил имя клиента на customer. Мы думаем, что SAML ожидает ответ HTTPS, но получает ответ HTTP. Есть ли способ повлиять на это из web.config. Я также добавил фрагмент web.config с большей частью конфигурации клиента, касающейся SAML, мы также попробовали его с CookieHandler на False, но с той же ошибкой. Я надеюсь, что вы, ребята, можете помочь нам!
Конфигурация Web.Config
<!-- SAML authService -->
<kentor.authServices
entityId="customersaml"
returnUrl="https://customer.domain.com"
validateCertificates="false">
<identityProviders>
<add entityId="http://ahauth01.customer.nl/adfs/services/trust" signOnUrl="https://ahauth01.customer.nl/adfs/ls/" allowUnsolicitedAuthnResponse="true" binding="HttpPost">
<signingCertificate fileName="~/Config/customer.crt" />
</add>
</identityProviders>
</kentor.authServices>
<system.identityModel.services>
<federationConfiguration>
<cookieHandler requireSsl="true"/>
</federationConfiguration>
</system.identityModel.services>
<system.identityModel>
<identityConfiguration>
<securityTokenHandlers>
<securityTokenHandlerConfiguration>
<audienceUris mode="Never" />
</securityTokenHandlerConfiguration>
</securityTokenHandlers>
</identityConfiguration>
</system.identityModel>
ОШИБКА
Saml Customersaml Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.AssertionConsumerServiceUrlDoesNotMatchPolicyException: MSIS3200: нет. AssertionConsumerService не настроен на доверие доверяющей стороны http://customer.domain.com/AuthServices/Acs ', указанный в запросе. в Microsoft.IdentityServer.Service.SamlProtocol.EndpointResolver.LookupAssertionConsumerServiceByUrl(Collection`1 assertionConsumerServices Ури requestedAssertionConsumerServiceUrl, Строка scopeIdentity) в Microsoft.IdentityServer.Service.SamlProtocol.EndpointResolver.FindSamlResponseEndpointForAuthenticationRequest(Boolean artifactEnabled, запрос AuthenticationRequest, ScopeDescription scopeDescription) в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.GetResponseEndpointFromRequest(SamlRequest запрос, булева isUrlTranslationNeeded, ScopeDescription сфера) в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolManager.Issue(httpSamlRequestMessage httpSamlRequestMessage, SecurityTokenElement onBehalfOf, String sessionState, String RelayState, String & newSamlSession, String & samlpAuthenticationProvider, Boolean isUrlTranslationNeeded, WrappedHttpListenerContext context, Boolean isKmsiRequested) в Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler .RequestBearerToken (WrappedHttpListenerContext контекст, HttpSamlRequestMessage httpSamlRequest, SecurityTokenElement onBehalfOf, String relyingPartyIdentifier, булева isKmsiRequested, булева isApplicationProxyTokenRequired, String& samlpSessionState, String& samlpAuthenticationProvider) при Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSerializedToken(HttpSamlRequestMessage httpSamlRequest, WrappedHttpListenerContext контекст, String relyingPartyIdentifier, SecurityTokenElement signOnTokenElement, булева isKmsiRequested, булева isApplicationProxyTokenRequired) при Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.BuildSignInResponseCoreWithSecurityToken(SamlSignInContext контекст, SecurityToken SecurityToken, SecurityToken deviceSecurityToken) при Microsoft.IdentityServer.Web.Protocols.Saml.SamlProtocolHandler.Process(ProtocolContext контекст) в Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(протокол Context protocolContext, PassiveProtocolHandler protocolHandler) в Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(контекст WrappedHttpListenerContext)
1 ответ
Проверьте доверие проверяющей стороны к AD FS и посмотрите на конечные точки. Есть ли у него конечная точка для пути " http://customer.domain.com/AuthServices/Acs"?