4
我們正試圖聯合我們的應用程序,讓我們的客戶能夠獲得使用他們各自的企業標識(坪身份或他們的ADFS服務器)我們的應用程序。ADFS 3.0和非索賠感知應用程序,驗證問題
Web應用程序是不知道的權利,我們正在努力尋找出解決聯合。而無需修改代碼。
我建立了一個ADFS 3.0環境與Windows Server 2012 R2模擬未來的情況,下面我的實驗室環境:
我們這邊:
- 1 Active Directory服務器(即domainB)
- 1 IIS8我們不要求感知應用程序(Windows集成身份驗證通過Kerberos機制支持)的Web服務器加入了域B
- 1 ADFS 3.0服務器(服務提供商)上即domainB 加盟
- 1 WAP服務器加入了域B
客戶端:
- 1的Active Directory(DOMAINA)
- 1 ADFS 3.0服務器(身份提供商)上DOMAINA
申請加入用戶:
- 域B \ USER1
- DOMAINA \ user2的
我按照這些步驟來建立自己的實驗室環境:ADFS 3.0
- 安裝和配置域B
- 安裝和WAP服務器的配置上domainB
- 在域B上的WAP服務器上發佈ADFS 3.0
- 創建非聲明感知的依賴方指向應用程序的信任在ADFS 3.0即domainB
- 發佈非索賠感知上域B與ADFS 3.0即domainB到WAP ADFS 3.0
- 安裝和配置DOMAINA上即domainB
- 信託ADFS 3.0每個
- 編輯聲明規則聯合服務器
的「域B \ USER1」有沒有問題,訪問應用程序,在我的WAP服務器有以下事件:
Web應用程序代理成功代表用戶檢索到Kerberos票證。
Web應用程序代理接收到帶有有效邊緣令牌的HTTP請求。
的「DOMAINA \ user2的」無法訪問,並顯示服務器錯誤在屏幕上,並在WAP事件查看器有以下錯誤:
警告:事件ID 13019 的Web應用程序代理無法獲取Kerberos票據由於以下常規API錯誤而代表用戶:用戶名或密碼不正確。 (0x8007052e)。
錯誤:EventID 12027 Web應用程序代理在處理請求時遇到意外錯誤。 錯誤:用戶名或密碼不正確。 (0x8007052e)。
似乎是Kerberos身份驗證的問題,但domainB \ user1訪問應用程序沒有問題。
需要了解:
- 在哪裏的問題?
- 訪問到非要求的應用程序僅由Web應用程序服務器
我花很多天來找出病因的同一個域的用戶成員的支持。 欣賞這裏的任何方向。 謝謝