错误 - 使用服务进行身份验证的用户与请求的身份验证方法 AuthnContextClassRef 不匹配的 AADSTS75011 身份验证方法

本文介绍在尝试登录到已与 Azure Active Directory (Azure AD) 集成的基于 SAML 的单一登录 (SSO) 配置应用时收到错误消息“Error - AADSTS75011 身份验证方法,通过该方法对服务进行身份验证的用户与请求的身份验证方法 AuthnContextClassRef 不匹配”。。

症状

尝试登录已设置为使用基于 SAML 的 SSO 进行标识管理的应用程序时,会收到错误 AADSTS75011

原因

RequestedAuthnContext SAML 请求中。 这意味着应用需要 AuthnContext 指定 AuthnContextClassRef的 。 但是,用户在访问应用程序 AuthnContext 之前已经进行了身份验证,而用于之前身份验证的 (身份验证方法) 与所请求的身份验证方法不同。 例如,联合用户对 MyApps 和 WIA 的访问发生了。 将是 AuthnContextClassRefurn:federation:authentication:windows. AAD 不会执行新的身份验证请求,它将使用 IDP (ADFS 或任何其他联合身份验证服务在本例中传递的身份验证上下文) 。 因此,如果应用请求 urn:federation:authentication:windows不匹配,则会出现不匹配的情况。 另一种情况是使用 MultiFactor 时: 'X509, MultiFactor.

解决方案

RequestedAuthnContext 是可选值。 然后,如果可能,请询问应用程序是否可以将其删除。

另一种选择是确保 RequestedAuthnContext 将遵守。 这可以通过请求新的身份验证来完成。 通过执行此操作,处理 SAML 请求时,将完成新的身份验证,并 AuthnContext 遵守此操作。 若要请求新鲜身份验证,SAML 请求必须包含该值 forceAuthn="true"

更多信息

有关 Active Directory 身份验证和授权错误代码的完整列表,请参阅Azure AD 身份验证和授权错误代码

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持