本文提供Microsoft Entra 驗證錯誤AADSTS50107的解決方案。 當來賓使用者嘗試兌換來自使用安全性斷言標記語言 (SAML) 外部信任的租用戶的邀請時,就會產生此錯誤。
癥狀
試想以下情況:
- 您的租戶與使用 SAML 或 WS-Fed 身分識別提供者(IdP)的外部組織有直接聯邦信任。
- 外部組織邀請使用者以來賓身份加入您的租賃使用者。
- 訪客嘗試兌換邀請函。
在此案例中,邀請兌換失敗,並出現下列錯誤訊息:
錯誤:AADSTS50107:要求的同盟領域物件 『https://abc.contoso.com不存在。
原因
當 SAML 回應中的簽發者 URL 值不符合 Microsoft Entra 識別碼中所設定的 URL 值時,就會發生此問題。 SAML 回應中的簽發者 URL 會對應至錯誤訊息中所提及的 URL。
解決辦法
要解決這個問題,請按照以下步驟進行:
確定外部IdP中的簽發者URL符合 Microsoft Entra識別碼中所設定的URL。
確認或更新 Microsoft Entra 識別碼中的簽發者 URL,以符合 SAML 回應中的 URL。
若要確認 Microsoft Entra 識別碼中的簽發者 URL,請遵循下列步驟:
- 以系統管理員身分登入 Microsoft Entra 系統管理中心。
- 選取 [管理>外部身分識別]。
- 選取 [檢視所有識別提供者]。
- 在 [ 自定義] 索引標籤下,選取所需的 SAML 信任 (例如
Contoso.com)。 - 選取 [ 編輯組態 ] 以取得所需的 SAML 信任。
- 檢查Microsoft Entra ID
saml:Issuer中所設定的簽發者 URL 是否符合外部 IdP 所傳送 SAML 回應中的值。
如需詳細資訊,請參閱 新增與 SAML/WS-Fed 識別提供者的同盟。
詳細資訊
如需Microsoft Entra 驗證和授權錯誤碼的完整清單,請參閱 Microsoft Entra 驗證和授權錯誤碼。
與我們連絡,以取得說明
如果您有任何問題或需要幫助,提出支援請求,或詢問Azure 社群支援。 您也可以向 Azure 意見反應社群提交產品意見反應。