Позвольте мне сделать предисловие, что я сейчас не рядом с сервером, поэтому я не могу напрямую прочитать какие-либо сообщения об ошибках.
Мы внедрили сервер ADFS 3.0 и используем включенную веб-страницу единого входа Microsoft. У нас возникла проблема с неправильной работой UPN субдомена в экстрасети с использованием проверки подлинности с помощью формы. Проще описать проблему:
У нас есть домен с поддоменом. Для намерений и целей суффикс пользователей с UPN в основном домене - user@abc.com. UPN пользователей поддомена: user@xyz.abc.com.
На сайте SSO UPN будет работать для входа в основной домен, но выйдет с ошибкой UPN для поддомена. Например: Apples@abc.com войдет в систему, но bananas@xyz.abc.com не будет работать. Чтобы еще больше запутать ситуацию, xyz \ bananas позволит вам войти в систему, как и bananas @ xyz (без ничего после xyz в суффиксе). Для пояснения по этому предыдущему пункту, фактическое имя поддоменов IS xyz, поэтому xyz \ должен работать независимо от того, что, как и @xyz, из-за того, что домен, который следует за ним, «понимается» SSO.
Чтобы прояснить все это и дать сокращенную версию, введите UPN пользователя основного домена, но введите UPN пользователя в поддомене. Кажется, все настроено правильно в ADFS и Active Directory. Если кто-то еще сталкивался с чем-то подобным, я был бы очень признателен за любые советы или предложения. На данный момент это похоже на проблемы с самими формами.
Чтобы дать немного больше информации, тот же сайт в интрасети работает нормально, когда мы используем проверку подлинности Windows. Мы временно отключили проверку подлинности Windows и использовали внутреннюю проверку подлинности с помощью формы, и UPN поддомена работал без проблем.