SSO SharePoint 2013 с сервером удостоверения подлинности WSO2 Пассивный STS

Question

Я пытаюсь использовать SSO для доступа к веб-сайту Point Point на сервере WSO2 Identity Server для пассивной поддержки sts.

Ниже приводится ответ SAML форма Сервер идентификации

<Attribute AttributeName="Email" 
               AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" 
               > 
              <AttributeValue>admin@wso2.com</AttributeValue> 
            </Attribute> 

Я получаю следующий журнал в сторону Share Point.

04/16/2015 11:40:13.61 w3wp.exe (0x0B18)       0x0640 SharePoint Foundation   Claims Authentication   ajau6 Verbose  SPSecurityTokenServiceManager!GetProviderByName: Returning Trusted Login Provider for input WSO2PassiveSTS1 6130fd9c-aa57-b0ac-0000-0c3c2aa42924 
04/16/2015 11:40:13.63 w3wp.exe (0x0B18)       0x0640 SharePoint Foundation   Claims Authentication   eu2n Monitorable Trusted login provider 'WSO2PassiveSTS1' is not sending configured input identity claim type 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'. 6130fd9c-aa57-b0ac-0000-0c3c2aa42924 
04/16/2015 11:40:13.65 w3wp.exe (0x0B18)       0x0640 SharePoint Foundation   Claims Authentication   fo1t Monitorable STS Call: Failed to issue new security token. Exception: System.ServiceModel.FaultException: The trusted login provider did not supply a token accepted by this farm.  at Microsoft.SharePoint.IdentityModel.SPSecurityTokenService.SPRequestInfo.ValidateTrustedLoginRequest(SPRequestSecurityToken request)  at Microsoft.SharePoint.IdentityModel.SPSecurityTokenService.GetTokenLifetime(Lifetime requestLifetime)  at Microsoft.IdentityModel.SecurityTokenService.SecurityTokenService.Issue(IClaimsPrincipal principal, RequestSecurityToken request)  at Microsoft.SharePoint.IdentityModel.SPSecurityTokenService.Issue(IClaimsPrincipal principal, RequestSecurityToken request) 6130fd9c-aa57-b0ac-0000-0c3c2aa42924 

Выполняется моя конфигурация IDP в Sharepoint.

$map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming 

$realm="http://win-3oo8vau2hv9:48077/_trust" 

$ap=New-SPTrustedIdentityTokenIssuer -Name "WSO2PassiveSTS1" -Description "WSO2 Identity Server1" –Realm $realm -ClaimsMappings $map1 -ImportTrustCertificate $cert -SignInUrl "https://localhost:9443/passivests" -IdentifierClaim $map1.InputClaimType 

Answer 1

Incomming тип претензии должны быть http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email

НЕ http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress "

SAML маркер должен иметь время истечения больше, чем 10 минут.

SharePoint использует SAML период лексема действия для определения времени жизни и если LogonTokenCacheExpirationWindow (который является параметром в SharePoint за 10 минут по умолчанию) больше, чем срок действия утверждения, то SharePoint не разрешит пользователю входить в систему и будет перенаправлять обратно в IdP, который перенаправляет обратно в SharePoint в бесконечном цикле.

Атрибут в ответе SAML должно выглядеть следующим образом

<Attribute AttributeName="email" 
               AttributeNamespace="http://schemas.xmlsoap.org/ws/2005/05/identity/claims" 
               > 
              <AttributeValue>admin@wso2.com</AttributeValue> 
            </Attribute>