SharePoint 2013 Provider托管应用程序W / ADFS用户转换为Windows用户的验证否SAML用户
-
10-12-2019 - |
题
我有一个高信任提供商托管应用程序,使用这个博客文章。
应用程序可以仅作为应用程序进行身份验证,但是当我在用户信息中传递时,我得到“出现错误:访问拒绝。您无权执行此操作或访问此资源。”SharePoint日志显示我的用户正在被解析为Windows用户而不是SAML用户。如果我添加了应用程序将验证并为我提供用户上下文,则进一步证明这是进一步的。我究竟做错了什么?
jwt令牌:
{
"upn": "dpalfery@ssolab.local",
"nii": "trusted:adfs",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"exp": "1395592109",
"actortoken": "<decoded below>",
"nbf": "1395591509"
}
{
"upn": "dpalfery@ssolab.local",
"identityprovider": "trusted:ADFS",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"smtp": "dpalfery@ssolab.local",
"trustedfordelegation": "true",
"exp": "1455591509",
"nameid": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"nbf": "1395591509",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272"
}
.
SharePoint日志:
03/23/2014 10:37:45.70 w3wp.exe(0x0b1c)0x282c sharepoint 基础应用 身份验证AHKPT中等含量扫描仪算法 身份验证成功完成用户:0#.w | SSOLAB \ DPALFERY和 演员:0i.t | MS.SP.EXT | 8A7656D9-A909-4304-9C3F-0320B175015E @ AB32783D-87A4-4705-BA23-AE2C8134272 401C8134272 401C809C-043A-2027-B3CC-8517DFFCB09A
解决方案
您没有指定足够的信息,以100%确定,但可能是以下可能之一:
- 在创建sptrustedsecuritytokenissuer 时,需要指定-istrustbroker 在用户配置文件应用程序中找不到
- 用户(在史蒂夫的帖子中讨论)
- 身份索赔在用户配置文件应用程序中不是唯一的。(史蒂夫明确调用它 - 不能拥有索赔用户和Windows用户。)