錯誤 - 使用者向服務驗證的 AADSTS75011 驗證方法不符合要求的驗證方法 AuthnCoNtextClassRef

本文說明當您嘗試登入 (已與 Azure Active Directory (Azure AD) ) 整合的 Azure Active Directory 應用程式時,收到錯誤訊息「錯誤 - AADSTS75011 驗證方法,使用者使用服務驗證的方式不符合要求的驗證方法 AuthnCoNtextClassRef」的問題。

徵狀

嘗試登入已設定為使用 Azure AD 進行使用 SAML 型 SSO 進行身分識別管理的應用程式時,您會收到錯誤 AADSTS75011

原因

位於 RequestedAuthnContext SAML 要求中。 這表示應用程式預期 AuthnContext 由 指定的 AuthnContextClassRef 。 不過,使用者在存取應用程式之前已經過驗證,而 AuthnContext) 用於先前驗證的 (驗證方法與要求的驗證方法不同。 例如,已發生同盟使用者對 MyApps 和 WIA 的存取。 AuthnContextClassRef將會是 urn:federation:authentication:windows 。 AAD 不會執行全新的驗證要求,它會使用 IdP (ADFS 或任何其他同盟服務在此案例中傳遞的驗證內容) 。 因此,如果應用程式要求 urn:federation:authentication:windows 以外的 ,則會發生不相符的情況。 另一個案例是使用 MultiFactor 時: 'X509, MultiFactor

解決方案

RequestedAuthnContext 是選擇性值。 然後,如果可能的話,請詢問應用程式是否可以移除它。

另一個選項是確定 RequestedAuthnContext 會接受 。 這會藉由要求全新驗證來完成。 如此一來,當處理 SAML 要求時,將會完成全新驗證,並 AuthnContext 接受 。 若要要求全新驗證,SAML 要求必須包含 值 forceAuthn="true"

其他相關資訊

如需 Active Directory 驗證和授權錯誤碼的完整清單,請參閱Azure AD 驗證和授權錯誤碼

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 社群支援