У нас есть запущенный и работающий сервер ADFS, который мы используем для единого входа в Skype в облаке, и он работает без проблем. Недавно мы установили доверие проверяющей стороны с внешним партнером, который использует свою собственную федеративную службу (которую они написали / настроили самостоятельно). Они партнеры по ресурсам, а мы IDP
При попытке доступа к их приложению мы попадаем на их веб-сайт, но не можем войти в систему. В журнале событий администратора AD FS мы видим следующие 2 события;
Идентификатор события 303 - служба федерации обнаружила ошибку при обработке запроса аутентификации SAML: MSIS0037: для издателя не найден сертификат проверки подписи.https://xxxxxxxxx.com'
Код события 364 - обнаружена ошибка во время пассивного запроса федерации: MSIS0037: не найден сертификат проверки подписи для эмитента.https://xxxxxxxxx.com'
Для свойств доверия проверяющей стороны для SignedSAMLRequestsRequired задано значение False, а для SamlResponseSignature задано значение False.
Я немного не понимаю, как это исправить. Я предполагаю, что мой сервер ADFS ожидает подписанного запроса аутентификации SAML, но не может проверить подпись. Может ли кто-нибудь объяснить мне, что именно идентификатор делает в конфигурации RPT?
TIA
В соответствии с документация по Technet для Set-ADFSRelyingPartyTrust, SAMLResponseSignature «[s] определяет подписи ответа, которые ожидает проверяющая сторона» (и не принимает аргумент «False»). Таким образом, он не будет делать то, что вы хотите (проверяющей стороной является служба, а не ADFS).
Также, SignedSAMLRequestsRequired означает, что он будет принимать неподписанные запросы, а не подписанные запросы, подписи которых не могут быть проверены.
Итак, я бы посмотрел на сертификат, используемый службой, особенно если ему доверяет ваш сервер ADFS. Я предполагаю, что он либо самоподписанный, либо подписанный внутренним центром сертификации.