将AuthnRequest更正为Azure AD/idp

Question

我不断收到“AADSTS75005：请求不是有效的Saml2协议消息”。当我尝试将AuthnRequest发送到Azure AD/idp时。

在压缩之前，XML看起来像这样，转换为base64string并对邮件进行url编码。

<samlp:AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="ide13dd575-3f6c-4131-9b9d-e12c644cf18f" Version="2.0" IssueInstant="2016-11-14T14:28:27.5450323Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">{homepage url registered in azure app registrations}</Issuer></samlp:AuthnRequest> 

用户被{从端点SAML-P登录端点在天青应用}重定向到https://login.microsoftonline.com//SAML2？SAMLRequest = {编码SAML请求除去}

相同的作品当我发送它的其他SAML2 IDP（使用SimpleSAMLphp）

web浏览器将被重定向到https://login.windows.net/ {端点ID}/SAML2？SAMLRequest = jZBLasMwFEW3YjRXbKny72EbAqVgaCkkbQedBEVWiKktuXrP％2faytgy6pW6hJhoXQ6YV7OPf％2bfH1XqMdhgvVMR7exr7NFij7GwWHN5uDAa％2bwRnB4tAhnYru9uQa4SGC3pTpNmUXtds77rrCjy9KB4LpXian％2bV8aJLUl6Wpdknytg0y1n0ZAP23tVsQSxNxNm2Dkk7 WqJEZFwILtSDlCBSkHIlZCbLtHhmZyU4uV4Wm4Inb％2fzAmurED％2f9ZoxFtoMWMNUeiCSGOx8％2fHTbu78WG3JW1e7t9sOAz％2bvYrP1KaK％2fx7X％2fAI％3D

Answer 1

我发现这个问题了这一点。我在新的Azure门户中创建了该应用程序。这表明端点是https://login.windows.net/ {身份识别码}/SAML2

我创造了老门户的新应用程序，现在它显示端点是https://login.microsoftonline.com/ {身份识别码}/SAML2

如果我看的这两个应用如果我在新门户中执行相同操作，则会显示https://login.windows.net/ {myid}/saml2这两个选项都是在新门户中创建的（一个在新门户中，另一个在旧门户中），它显示https://login.microsoftonline.com/ {myid}/saml2。 APS。

因此，我的代码没有任何错误，但Azure AD门户报告了新门户中的无效端点。

Answer 2

正如@Steve上面已经提到的，这个问题似乎是与正在放气的方式/编码鉴权请求。假设您使用.NET（您提到了DeflateStream），请尝试使用示例代码https://stackoverflow.com/a/25155050/983244。

我也清楚了命名空间声明，以使您的AuthnRequest看起来像

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
        xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
        ID="ide13dd575-3f6c-4131-9b9d-e12c644cf18f" 
        Version="2.0" 
        IssueInstant="2016-11-14T14:28:27.5450323Z"> 
    <saml:Issuer>{homepage url registered in azure app registrations}</saml:Issuer> 
</samlp:AuthnRequest>