错误 - AADSTS75011身份验证方法，使用服务进行身份验证的用户与请求的身份验证方法 AuthnContextClassRef 不匹配

本文介绍在尝试登录到已与 Microsoft Entra ID 集成的基于 SAML 的单一登录 (SSO) 配置的应用时，会收到错误消息“错误 - AADSTS75011身份验证方法，使用该服务进行身份验证的用户与请求的身份验证方法 AuthnContextClassRef 不匹配”。

注意

本文是否有帮助？ 你的输入对我们很重要。 请使用此页面上的 “反馈 ”按钮，让我们了解本文对你的影响，或者我们如何改进它。

症状

尝试登录到已设置为使用 Microsoft Entra ID 通过基于 SAML 的 SSO 进行标识管理的应用程序时，会收到AADSTS75011错误消息。

原因

位于 RequestedAuthnContext SAML 请求中。 这意味着应用需要 AuthnContext 由 AuthnContextClassRef指定的 。 但是，用户在访问应用程序之前已经进行身份验证，) AuthnContext 用于先前身份验证的 (身份验证方法与请求的身份验证方法不同。 例如，发生了对 MyApps 和 WIA 的联合用户访问。 将为 AuthnContextClassRefurn:federation:authentication:windows。 Microsoft Entra ID不会执行新的身份验证请求，它将使用 IdP (ADFS 通过它传递的身份验证上下文，在本例中) 的任何其他联合身份验证服务。 因此，如果应用请求以外的 urn:federation:authentication:windows其他请求，则会出现不匹配的情况。 另一种情况是使用 MultiFactor 时： 'X509, MultiFactor。

解决方案

RequestedAuthnContext 是一个可选值。 如果可能，请询问应用程序是否可以删除该值。

另一个选项是确保 RequestedAuthnContext 将遵循该值。 这是通过请求新的身份验证来完成的。 通过执行此操作，在处理 SAML 请求时，将完成并 AuthnContext 遵循新的身份验证。 若要请求全新身份验证，SAML 请求必须包含值 forceAuthn="true"。

更多信息

有关 Active Directory 身份验证和授权错误代码的完整列表，请参阅Microsoft Entra身份验证和授权错误代码

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。