您好,我正在尝试使用 SSO 直接对我的网站的客户用户进行身份验证。我客户的 IDP 是 Microsoft ADFS,我正在使用 Passport-SAML (https://github.com/bergie/passport-saml) 配置 SSO 流程。
到达我给客户端的特殊 URL(例如: www.myClient.myCompany.com )后,用户(未经身份验证)将按预期重定向到客户端登录页面。 输入凭据后,他仍然停留在登录页面BUTSSO 可以工作,因为用户已经过身份验证,这意味着如果他打开新选项卡并转到 www.myClient.myCompany.com,他将被重定向到我的网站。
ADFS 服务器日志中的错误如下:
The Federation Service encountered an error while processing the SAML authentication request.
Additional Data
Exception details:
Microsoft.IdentityModel.Protocols.XmlSignature.SignatureVerificationFailedException: MSIS0038: SAML Message has wrong signature. Issuer: 'www.myCompany.co'.
at Microsoft.IdentityServer.Protocols.Saml.Contract.SamlContractUtility.CreateSamlMessage(MSISSamlBindingMessage message)
at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.Issue(IssueRequest issueRequest)
at Microsoft.IdentityServer.Service.SamlProtocol.SamlProtocolService.ProcessRequest(Message requestMessage)
感谢您抽出时间!
我不熟悉 Microsoft ADFS 也不熟悉 Passport-SAML,但当我们遇到签名错误时,我是因为 IDp 证书的 SHA1 指纹与我们端的不匹配。
我们通过确保证书格式正确然后计算指纹来修复它们。
Format: https://developers.onelogin.com/saml/online-tools/x509-certs/format-x509-certificate指纹:https://developers.onelogin.com/saml/online-tools/x509-certs/calculate-fingerprint
希望这是您的情况