Errore "WIF10201: Nessuna mappatura chiave valida trovata" Quando si tenta di creare reclami da SAML

Question

Sto cercando di convalidare una risposta SAML che proviene da IDP di SiteMinder da una terza parte.Ho installato il certificato fornito da loro.Quando chiamo il metodo ValidateToken (System.IntityModel.TOURS) Per creare reclami, ottengo il seguente errore:

.

WIF10201: nessuna mappatura chiave valida trovata per SecurityToken: 'system.IdentityModel.TOKENS.X509SecurityToken' e Emittente: 'ISSUER URI'

Ho scavato in profondità per trovare l'errore e il suo essere lanciato dal metodo Getissuername (System.IdentityModel.TOURS).

Dov'è il problema?Ho googlato per questo problema ma non ho trovato nulla di specifico per il mio caso.Il token Saml dal mio cliente ha un problema o c'è qualcosa che mi manca nell'attuazione.Sono abbastanza nuovo per l'autenticazione federata, quindi si prega di scusare qualsiasi inesattezza con la terminologia utilizzata.

GAURAV

Answer 1

OK ha trovato la soluzione ma non è stato capire il readon dietro di esso (completo Noob, aggiornerà la risposta quando ne so di più).

ha seguito questo approccio di convertire la risposta SAML2 alla risposta WSFED, quindi su quel nuovo token ho eseguito il mio codice, ora l'errore è sparito.

http://blogs.msdn.com/b/blogs.msdn.com/b/bradleycotier/archive/2012/10/28/saml-2-0-tokens-and-wif-bridging-the-divide.aspx

Nota: devi ancora ignorare il metodo del token convalidato (che avevo originariamente fatto) per evitare il seguente errore:

“ID4154: A Saml2SecurityToken cannot be created from the Saml2Assertion because it contains a SubjectConfirmationData which specifies an InResponseTo value. Enforcement of this value is not supported by default. To customize SubjectConfirmationData processing, extend Saml2SecurityTokenHandler and override ValidateConfirmationData.”

.

Grazie.

Answer 2

Probabilmente manca una configurazione che mappa il nome dell'emittente (come specificato all'interno del token) al certificato (probabilmente specificato con una dumblint).Immagino che tu risolvi questo con qualche configurazione nel tuo web.config.Dai un'occhiata a P.e. Microsoft convalida del registro dei nomi dell'emittente La pagina contiene una configurazione di esempio.Impostare questo correttamente dipende interamente dalla tua situazione.

Answer 3

Volevo prendere una nota per riferimento futuro, dal momento che ho anche corso in questo errore, ma la mia risoluzione era diversa.Ho ottenuto l'errore WIF10201 in un'applicazione MVC personalizzata che utilizza ADFS (3.0) Authentication basata su richiesta con Windows Server 2012. Nel web.config dell'applicazione MVC, viene registrata la descrizione ThumbPrint del tasto di firma del token ADFS.Si scopre, quando il certificato di firma sta per scadere, ADFS crea una nuova chiave.La nuova chiave è contrassegnata da "primaria" e la vecchia chiave è contrassegnata come "secondaria" nella console ADFS (sotto AD FS / Service / Certificates).Quindi, nel mio web.config, c'era, ovviamente, ancora la dumblinta del vecchio (secondario) chiave.Non appena l'ho sostituito con la descrizione del testo del nuovo (primario), l'errore è scomparso.