Błąd — AADSTS75011 metoda uwierzytelniania, za pomocą której użytkownik uwierzytelniony w usłudze nie pasuje do żądanej metody uwierzytelniania AuthnContextClassRef
W tym artykule opisano problem, w którym jest wyświetlany komunikat o błędzie "Błąd — AADSTS75011 metoda uwierzytelniania, za pomocą której użytkownik uwierzytelniony w usłudze nie pasuje do żądanej metody uwierzytelniania AuthnContextClassRef", podczas próby zalogowania się do aplikacji skonfigurowanej do logowania jednokrotnego opartego na protokole SAML, która została zintegrowana z aplikacją Tożsamość Microsoft Entra.
Uwaga
Czy ten artykuł był pomocny? Twoje dane wejściowe są dla nas ważne. Użyj przycisku Opinie na tej stronie, aby poinformować nas, jak dobrze działa ten artykuł dla Ciebie lub jak możemy go ulepszyć.
Symptomy
Podczas próby zalogowania się do aplikacji skonfigurowanej do używania Tożsamość Microsoft Entra do zarządzania tożsamościami przy użyciu logowania jednokrotnego opartego na protokole SAML jest wyświetlany AADSTS75011 komunikat o błędzie.
Przyczyna
Element RequestedAuthnContext znajduje się w żądaniu SAML. Oznacza to, że aplikacja oczekuje AuthnContext wartości określonej przez AuthnContextClassRefelement . Jednak użytkownik został już uwierzytelniony przed uzyskaniem dostępu do aplikacji, a AuthnContext (metoda uwierzytelniania) używana do poprzedniego uwierzytelniania różni się od żądanego. Na przykład wystąpił federacyjny dostęp użytkownika do aplikacji MyApps i WIA. Będzie AuthnContextClassRef to urn:federation:authentication:windows. Tożsamość Microsoft Entra nie będzie wykonywać nowego żądania uwierzytelniania, użyje kontekstu uwierzytelniania, który został przekazany przez usługodawcę tożsamości (ADFS lub inną usługę federacyjną w tym przypadku). W związku z tym wystąpi niezgodność, jeśli aplikacja zażąda innej niż urn:federation:authentication:windows. Innym scenariuszem jest użycie funkcji MultiFactor: 'X509, MultiFactor.
Rozwiązanie
RequestedAuthnContext jest wartością opcjonalną. Jeśli to możliwe, zapytaj aplikację, czy można usunąć wartość.
Inną opcją jest upewnienie się, że RequestedAuthnContext wartość zostanie uhonorowana. W tym celu należy zażądać nowego uwierzytelniania. W ten sposób po przetworzeniu żądania SAML wykonywane jest nowe uwierzytelnianie i AuthnContext jest ono honorowane. Aby zażądać nowego uwierzytelniania, żądanie SAML musi zawierać wartość forceAuthn="true".
Więcej informacji
Aby uzyskać pełną listę kodów błędów uwierzytelniania i autoryzacji usługi Active Directory, zobacz Microsoft Entra kody błędów uwierzytelniania i autoryzacji
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla