Erreur “WIF10201:Pas de clé valide cartographie trouvé” lorsque vous essayez de créer des demandes de SAML
-
21-12-2019 - |
Question
Je suis en train de valider une réponse SAML qui est à venir à partir de Siteminder DÉPLACÉS d'un tiers.J'ai installé le certificat fourni par eux.Lorsque j'appelle l' ValidateToken méthode (Système d'.IdentityModel.Jetons) pour créer des réclamations, j'obtiens le message d'erreur suivant :
WIF10201:Pas de clé valide cartographie trouvé pour securityToken:'Système.IdentityModel.Jetons.X509SecurityToken " et émetteur:'émetteur uri"
J'ai creusé en profondeur pour trouver de l'erreur et de sa levée par la méthode GetIssuerName (Le système.IdentityModel.Des jetons).
Où est le problème?J'ai googlé pour cette question, mais n'ai pas trouver quelque chose de spécifique à mon cas.Le jeton SAML de mon client ont un problème ou il y a quelque chose qui me manque dans la mise en œuvre.Je suis assez nouveau à l'fédéré auth s'il vous plaît excuser pour toute inexactitude avec la terminologie utilisée.
Gaurav
La solution
OK a trouvé la solution mais imposez pas tout à fait comprendre le readon derrière celui-ci (Complètement noob, mettra à jour la réponse quand je sais plus).
suivi cette approche de la conversion de la réponse SAML2 à la réponse WSFED, puis sur ce nouveau jeton, j'ai dirigé mon code, l'erreur est maintenant partie.
“ID4154: A Saml2SecurityToken cannot be created from the Saml2Assertion because it contains a SubjectConfirmationData which specifies an InResponseTo value. Enforcement of this value is not supported by default. To customize SubjectConfirmationData processing, extend Saml2SecurityTokenHandler and override ValidateConfirmationData.”
Autres conseils
Il vous manque probablement une configuration qui mappe le nom de l'émetteur (comme spécifié à l'intérieur du jeton) au certificat (probablement spécifié avec une empreinte de pluie).Je suppose que vous résolvez cela avec une certaine configuration dans votre web.config.Jetez un coup d'œil à P.e. Microsoft Vididant Nom de l'émetteur Registry La page contient de la configuration d'échantillon.La configuration de cela est correctement dépend entièrement de votre situation.
Je voulais faire une note de référence pour l'avenir, puisque j'ai aussi tombé sur cette erreur mais ma résolution était différent.J'ai eu la WIF10201 d'erreur personnalisé dans un MVC de l'application qui est à l'aide des services ADFS (3.0) authentification basée sur les revendications sous Windows Server 2012.Dans le web.config
de l'application MVC, l'empreinte de l'ADFS jeton de clé de signature est enregistrée.Il s'avère que, lorsque le certificat de signature est sur le point d'expirer, ADFS crée une nouvelle clé.La nouvelle clé est marqué "primaire" et de l'ancienne clé est marqué comme "secondaire" de l'ADF console (AD FS/Service/Certificats).Donc, dans mon web.config
il y avait, bien sûr, toujours l'empreinte de l'ancien (secondaire) de la clé.Dès que je l'ai remplacé par l'empreinte de la nouvelle (primaire) de la clé, l'erreur a disparu.