APP Hosted Provider SharePoint 2013 APP W / ADFS Authenticati convertiti per l'utente Windows Nessun utente SAML
-
10-12-2019 - |
Domanda
Ho un'applicazione di High Trust Provider Hosted utilizzando la configurazione e i rivenditori Helper da Questo post del blog .
L'app può essere autenticata solo come app solo ma quando passerò nelle informazioni dell'utente ottenendo "c'era un errore: accesso negato. Non hai il permesso di eseguire questa azione o accedere a questa risorsa." I registri di SharePoint mostrano che il mio L'utente viene risolto come utente Windows non è l'utente SAML. Questo è ulteriormente dimostrato se aggiungo l'account Windows L'app autentica e mi fornirà il contesto utente. Che cosa sto facendo di sbagliato?
Token JWT:
{
"upn": "dpalfery@ssolab.local",
"nii": "trusted:adfs",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"exp": "1395592109",
"actortoken": "<decoded below>",
"nbf": "1395591509"
}
{
"upn": "dpalfery@ssolab.local",
"identityprovider": "trusted:ADFS",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"smtp": "dpalfery@ssolab.local",
"trustedfordelegation": "true",
"exp": "1455591509",
"nameid": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"nbf": "1395591509",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272"
}
.
Registro SharePoint:
.03/03/2014 10: 37: 45.70 w3wp.exe (0x0b1c) 0x282c SharePoint Applicazione della fondazione Autenticazione AHKPT Medium SpaplpplicationAuthenticationModule Autenticazione è terminata con successo per l'utente: 0 # .w | ssolab \ dpalfory e Attore: 0i.t | Ms.sp.ext | 8A7656D9-A909-4304-9C3F-0320B175013 @ AB327L3D-87A4-4705-BA23-AE2EC8134272 401C809C-043A-2027-B3CC-8517DFFCB09A
Soluzione
Non hai specificato abbastanza informazioni per essere sicuro al 100%, ma è probabile che sia una delle seguenti operazioni:
- .
- è necessario specificare -istrustbroker durante la creazione di SPTRUSTEDSecurityTokenissuer
- L'utente non è stato trovato nell'applicazione del profilo utente (discusso nel post di Steve)
- Il reclamo di identità non è unico nell'applicazione del profilo utente.(Steve esplicitamente chiama questo - non può avere sia l'utente del richiedente che l'utente di Windows.)