1

我正在研究联合身份验证的概念证明。

我创建了一个自定义 STS(基本上是对 Windows Identity Foundation Basic STS 示例的重写)并设置了依赖方以成功使用它。

PoC 的下一阶段是使用 Azure ACS 允许使用 Google/LiveID/etc 凭据以及自定义 STS 提供的凭据进行联合登录。

一切正常,除了我无法让 Azure ACS 接受来自自定义 STS 的令牌。

给出的错误是:

ACS20001: An error occurred while processsing a WS-Federation sign-in response
ACS50008: SAML token is invalid
ACS50026: Principal with name 'mysts.mycorp.co.uk' is not a known principal

现在,对我来说,这看起来 ACS 无法从自定义 STS 解密 SAML 令牌,但安装在 Azure ACS 中的唯一解密证书是用于签名和加密自定义 STS 响应令牌的证书。

我在这里想念什么?

4

1 回答 1

1

答案当然是盯着我的脸……

ACS 要求 STS 的联合元数据中的发行者名称与令牌中的完全匹配...

在我的 app.config 中,我错过了http://颁发者名称 - ACS 将缺少介绍人解释为证书参考,并且正在寻找颁发者的证书CN=mysts.mycorp.co.uk而不是http://mysts.mycorp.co.uk

于 2011-10-03T16:44:34.417 回答