錯誤 - AADSTS75011驗證方法,使用者使用服務驗證的方法不符合要求的驗證方法 AuthnContextClassRef
本文說明當您嘗試登入已與 Microsoft Entra ID 整合的 SAML 型單一登錄 (SSO) 設定的應用程式時,您會收到錯誤訊息「錯誤 - AADSTS75011驗證方法,使用者使用服務驗證不符合要求的驗證方法 AuthnContextClassRef」。
注意事項
本文是否有幫助? 您的輸入對我們很重要。 請使用此頁面上的 [ 意見反應 ] 按鈕,讓我們知道本文如何為您運作,或我們如何加以改善。
徵狀
當您嘗試登入已設定為使用 Microsoft Entra ID 以使用SAML型SSO進行身分識別管理的應用程式時,會收到AADSTS75011
錯誤訊息。
原因
位於 RequestedAuthnContext
SAML 要求中。 這表示應用程式預期 AuthnContext
由 指定的 AuthnContextClassRef
。 不過,使用者在存取應用程式之前已經過驗證,而 AuthnContext
) 用於先前驗證的 (驗證方法與要求的驗證方法不同。 例如,已發生同盟使用者對 MyApps 和 WIA 的存取。 AuthnContextClassRef
將會是 urn:federation:authentication:windows
。 Microsoft Entra ID 不會執行全新的驗證要求,則會使用IdP (ADFS或任何其他同盟服務在此案例中傳遞的驗證內容) 。 因此,如果應用程式要求 urn:federation:authentication:windows
以外的 ,則會發生不相符的情況。 另一個案例是使用 MultiFactor 時: 'X509, MultiFactor
。
解決方案
RequestedAuthnContext
是選擇性值。 可能的話,請詢問應用程式是否可以移除值。
另一個選項是確定 RequestedAuthnContext
會接受值。 這是藉由要求全新驗證來完成。 如此一來,當處理 SAML 要求時,就會完成全新驗證並 AuthnContext
接受。 若要要求全新驗證,SAML 要求必須包含 值 forceAuthn="true"
其他相關資訊
如需 Active Directory 驗證和授權錯誤碼的完整清單,請參閱 Microsoft Entra 驗證和授權錯誤碼
與我們連絡,以取得說明
如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應