Kendte konfigurationsfejl på Føderation (.Net)

Når man benytter Windows Identity Foundation (WIF) til føderation er der nogle typiske exceptions, der forekommer ved konfigurationsfejl. Følgende gennemgår de mest almindelige exceptions og de typiske årsager til at de opstår (listen udvides løbende). herunder kan man finde lidt om de oftest oplevede konfigurationsfejl:

  • ID1038: The AudienceRestrictionCondition was not valid because the specified Audience is not present in AudienceUris.

Følgende fejlmeddelelse ses hyppigt:

Kode: Vælg alt
ID1038: The AudienceRestrictionCondition was not valid because the specified Audience is not present in AudienceUris. Audience: 'https://showcase.test.miljoeportal.dk:8444/



Fejlmeddelelsen skyldes, at den/de AudienceUri der er har angivet i føderationskonfigurationen til web applikationen ikke passer med den faktiske uri (url) til web applikationen. F.eks. kan det være, at web applikationen både svarer på http://www.showcase.test.miljoeporal.dk og https://showcase.test.miljoeportal.dk:8444/, men at kun den ene url er konfigureret.

For at opdatere konfigurationen skal man finde flg. sektion i web.config:

Kode: Vælg alt
 
<microsoft.identityModel>
    <service saveBootstrapTokens="true">
      <audienceUris>
        <add value="https://showcase.test.miljoeportal.dk:8444/" />
      </audienceUris>



Her skal det sikres, at den value den står angivet under audienceUris passer med url til web applikationen, og hvis web applikationen skal tilgås på flere url'er, så skal de alle sammen være angivet her.

  • ID4175: The issuer of the security token was not recognized by the IssuerNameRegistry

Følgende fejlmeddelelse ses hyppigt:

Kode: Vælg alt
ID4175: The issuer of the security token was not recognized by the IssuerNameRegistry. To accept security tokens from this issuer, configure the IssuerNameRegistry to return a valid name for this issuer.



Fejlmeddelelsen skyldes normalt, at thumbprint for IdP'ens token signing certifikat ikke er angivet i issuerNameRegistry sektionen i web.config, eller at der er registreret et forkert thumbprint f.eks. fordi IdP'en har skiftet certifikat.

For at opdatere konfigurationen skal man finde flg. sektion i web.config:

Kode: Vælg alt
  <microsoft.identityModel>
    <service saveBootstrapTokens="true">
      <audienceUris>
        <add value="https://showcase.test.miljoeportal.dk:8444/" />
      </audienceUris>
      <issuerNameRegistry
type="Microsoft.IdentityModel.Tokens.ConfigurationBasedIssuerNameRegistry, Microsoft.IdentityModel">
        <trustedIssuers>



Her skal det sikres, at thumbprint for IdP'ens token signing certifikat er registreret, f.eks. ved at tilføje:

Kode: Vælg alt
          <!-- Signing certifikat for DMPs AD FS 2.0-server (TESTMILJØ) -->
          <add thumbprint="6aee8ae83044730b13df48aea9327937d77aa566"
               name="https://saml.login.test.miljoeportal.dk/adfs/services/trust" />

 

Har du flere spørgsmål? Send en anmodning

0 Kommentarer

Artiklen er lukket for kommentarer.