none
AD FS 証明書利用者信頼の要求発行ポリシーについて RRS feed

  • 質問

  • 表題の件につきまして、GUIで設定したものが動作に反映されず、
    原因や解決策をご存知のかたがいらっしゃいましたらご教授いただけないでしょうか。

    SPを起点としたSSOを試みており、以下のシーケンスを実現したいのですが、
    項番4で、SPのアサーションコンシューマサービスに到達した段階でシーケンスが失敗します。

    1.SPにアクセス
    2.SPからAD FSにリダイレクト
    3.AD FSで認証しxml発行
    4.発行されたxmlをSPにPOST
    5.SPへログインできる

    要求発行ポリシーを以下の通りに設定しているのですが、
    SAMLを取得して確認すると、名前IDが記述されていない状態のためSSOが失敗すると想定しています。

    テンプレート:LDAP属性を要求として送信
    属性ストア:Active Directory
    LDAP属性:E-Mail-Addresses
    出力方向の要求:名前 ID

    要求発行ポリシーを別のものに設定してもSAMLの記述に変化がないこと、
    またAD FSのイベントログには何も残っていないことから、
    そもそも要求発行ポリシーに書いた内容がAD FSサービスに無視されてしまっていると判断しました。

    証明書利用者信頼の要求発行ポリシーを正しく動作に反映させるために、
    なにかしらの設定変更が必要かと考えているのですが、
    Google等で検索してみても、「上記通りの設定をすれば実現可能」というものしか見つからず、
    解決に繋がりそうな情報は見つかりませんでした。

    当方の環境は以下の通りです。
    AD DC:Windows Server 2012R2
    AD FS:Windows Server 2016
    検証端末:Windows 10 Pro

    以上、よろしくお願い致します。

    2018年2月13日 8:43