Yêu Cầu Lỗi/InvalidNameIDPolicy với SimpleSAMLPHP SP và ADFS IDP

Question

Sau khi tìm kiếm khắp nơi trên Internet, đặc biệt là

• ADFS 2.0 InvalidNameIDPolcy
• Using SimpleSAMLphp to Authenticate against ADFS 2.0 IdP
• Requester/InvalidNameIDPolicy

Tôi đã thử tất cả những sửa đổi đề nghị authsource .php và siêu dữ liệu php. Không có gì hiệu quả.

Đây là authsource.php tôi

'default-sp' => array(
    'saml:SP', 
    'privatekey' => 'saml.pem', 
    'certificate' => 'saml.crt', 
    'idp' => 'http://domain.com/adfs/services/trust', 

tôi đã sử dụng để tạo ra các XML to simpleSAMLphp metadata convertersaml20-idp-remote.php

Vì vậy, khi tôi truy cập trang, SimpleSAMLPHP một cách chính xác chuyển hướng tôi đến trang đăng nhập IDP. Tôi đã giải mã Yêu cầu SAML:

<samlp:AuthnRequest 
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
    ID="_4e03333c7aa76314d965e05f8fcdd3e1f4c5be96c8" 
    Version="2.0" 
    IssueInstant="2014-12-11T19:41:50Z" 
    Destination="https://domain.com/adfs/ls/" 
    AssertionConsumerServiceURL="https://sub.domain.com/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp" 
    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"> 

    <saml:Issuer> 
     https://su.bdomain.com/simplesaml/module.php/saml/sp/metadata.php/default-sp 
    </saml:Issuer> 
    <samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" AllowCreate="true"/> 

</samlp:AuthnRequest> 

Sau khi đăng nhập bằng tài khoản thử nghiệm hợp lệ, tôi được chuyển hướng trở lại trang web của mình với lỗi.

SimpleSAML_Error_Error: UNHANDLEDEXCEPTION 
Backtrace: 
0 /var/www/html/igt_s3k/web/simplesamlphp/www/module.php:179 (N/A) 
Caused by: sspmod_saml_Error: Requester/InvalidNameIDPolicy 
Backtrace: 
3 /var/www/html/igt_s3k/web/simplesamlphp/modules/saml/lib/Message.php:385 (sspmod_saml_Message::getResponseError) 
2 /var/www/html/igt_s3k/web/simplesamlphp/modules/saml/lib/Message.php:495 (sspmod_saml_Message::processResponse) 
1 /var/www/html/igt_s3k/web/simplesamlphp/modules/saml/www/sp/saml2-acs.php:96 (require) 
0 /var/www/html/igt_s3k/web/simplesamlphp/www/module.php:134 (N/A) 

Tôi đã thử đặt NameIDPolicy khác nhưng không ai trong số chúng hoạt động.

//'NameIDFormat' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress', 
    //'NameIDPolicy' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient', 
    //'NameIDPolicy' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent', 
    //'NameIDPolicy' => 'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified', 

Cảm ơn!

Answer 1

Vâng. Trong một cơn giận dữ và thất vọng. Tôi đặt NameIDPolicy thành null và mọi thứ hoạt động. FML

'default-sp' => array(
    'saml:SP', 
    'privatekey' => 'saml.pem', 
    'certificate' => 'saml.crt', 
    'idp' => 'http://comain.com/adfs/services/trust', 
    'NameIDPolicy' => null, 

Answer 2

Theo http://social.technet.microsoft.com/wiki/contents/articles/4038.ad-fs-2-0-how-to-request-a-specific-name-id-format-from-a-claims-provider-cp-during-saml-2-0-single-sign-on-sso.aspx bạn nên sử dụng các giá trị mặc định không xác định 'NameIDPolicy' => 'urn: ốc đảo: tên: tc: SAML: 1.1: nameid định dạng: không xác định',