O SharePoint 2013 provedor de aplicativos hospedados w/ADFS usuário convertido autentica o utilizador de windows não SAML usuário
-
10-12-2019 - |
Pergunta
Eu tenho uma Alta Confiança Provedor de aplicativos hospedados usando a configuração e as reivindicações de auxiliar de este post de blog .
O aplicativo pode autenticar como app, mas só quando eu passar as informações do usuário recebo a mensagem "ocorreu um erro:Acesso negado.Você não tem permissão para efectuar esta acção ou aceder a este recurso."Nos logs do SharePoint mostrar que o meu usuário está sendo resolvido como o usuário do windows não o SAML de usuário.Isso é comprovado por se eu adicionar a conta do windows, o aplicativo vai autenticar e me fornecer o contexto de usuário.O que estou fazendo de errado?
JWT token:
{
"upn": "dpalfery@ssolab.local",
"nii": "trusted:adfs",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"exp": "1395592109",
"actortoken": "<decoded below>",
"nbf": "1395591509"
}
{
"upn": "dpalfery@ssolab.local",
"identityprovider": "trusted:ADFS",
"iss": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"smtp": "dpalfery@ssolab.local",
"trustedfordelegation": "true",
"exp": "1455591509",
"nameid": "8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272",
"nbf": "1395591509",
"aud": "00000003-0000-0ff1-ce00-000000000000/portal.ssolab.local@ab32783d-87a4-4705-ba23-ae2ec8134272"
}
Registo Do SharePoint:
03/23/2014 10:37:45.70 w3wp.exe (0x0B1C) 0x282C SharePoint Fundação De Aplicação Autenticação ahkpt Médio SPApplicationAuthenticationModule Autenticação concluído com êxito para o usuário:0#.w|ssolab\dpalfery e ator:0i.t/ms.sp.ext/8a7656d9-a909-4304-9c3f-0320b175015e@ab32783d-87a4-4705-ba23-ae2ec8134272 401c809c-043a-2027-b3cc-8517dffcb09a
Solução
Você não especificou informação suficiente para ter 100% de certeza, mas é provavelmente um dos seguintes procedimentos:
- Especifique-IsTrustBroker ao criar o SPTrustedSecurityTokenIssuer
- Usuário não for encontrado no aplicativo de perfil de usuário (discutido em Steve post)
- A declaração de identidade não é única no aplicativo de perfil de usuário.(Steve explicitamente chama isso -- não pode ter reclamação de usuário e de usuário do windows.)