定制STS和Azure ACS 错误 ACS50008：SAML 令牌无效

Question

我有一个自定义的 STS 实现。目前，它被配置为 Azure ACS 上的附加身份提供程序。我有一个依赖方网站，该网站已通过 ACS（Windows Live、Google 等）成功进行身份验证。但是，每当我尝试使用自定义 STS 登录时，我总是收到错误 401。

• 错误代码 ACS20001：处理 WS-Federation 登录响应时发生错误。
• 错误代码 ACS50008： SAML 令牌无效。

我已在论坛中进行了搜索，但就我而言，我没有获得有关该错误的更多详细信息，并且不知道如何继续并修复此问题。

我的 STS 目前处于测试阶段，可以在此处访问： 元数据 。

如果有人有任何建议或想尝试一下，请通过电子邮件与我联系，我将在我的自定义提供商上打开演示登录。

注意：该案例与发现的类似问题不同此处，因为我的内部异常详细信息没有表明任何原因。

更新：查看此thread 了解一些附加信息以及我从 fiddler 中提取的有效负载。

预先感谢，

康斯坦丁诺斯

Answer 1

我终于在Azure上的微软支持的帮助下解决了这个问题。

似乎“ACS50008：SAML 令牌无效”错误非常普遍，通常内部异常中包含更多信息，但不会出现在错误屏幕上。为什么会发生这种情况对我来说仍然是个谜。

因此，对于任何碰巧处于我的位置的人，我指出了发生这种情况的两个可能原因。

1. 原因：客户端的时间与ACS的时间不匹配，即下面的NotBefore是ACS查看的未来时间。 操作：
如果是这种情况，您可以尝试将生命周期设置为（现在 - 缓冲时间，例如 5 分钟）到现在 + 1 小时。
2. 原因：隐藏的内部异常，只能在 MS 支持的帮助下使用错误的跟踪 ID 才能看到。

Microsoft.Cloud.AccessControl.Common.Diagnostics.SignInException：
ACS20001：处理 WS-Federation 登录时发生错误
响应.Microsoft.Cloud.AccessControl.Common.Diagnostics.ServiceException
：ACS50008：SAML 令牌是
invalid.Microsoft.IdentityModel.SecurityTokenService.IssuerNameNotSupportedException
：名称为“https://login.mydomain.com/”的主体未知
校长。

就我而言，主体名称末尾不应包含正斜杠。我们将其从 https://login.mydomain.com/ 更改为 https://login.mydomain.com 错误消失了！

Answer 2

您始终可以向 Microsoft 创建支持案例并让他们帮助解决问题：
https://support.microsoft.com/oas/default.aspx?&c1=501&gprid=14928&&st=1&wfxredirect=1&sd=gn